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译 者 序 


众所周知 ， 开 行业 是 一 个 变化 非常 快 的 行业 ， 于 并 机 网 络 作为 中 的 一 个 分 支 尤为 明显 ， 这 一 点 从 业内 
赫赫 有 名 的 思科 公司 网 络 工程 师 认 证 有 效 期 只 有 短 短 两 年 便 可 见 一 班 。 正 是 这 飞速 变化 的 特性 ， 导 致 网 络 
硬件 设备 的 更 新 换代 也 日 新 月 异 、 千 变 万 化 ， 从 而 让 很 多 初学 者 在 学 习 了 基本 网 络 原理 后 ， 对 实际 的 计算 
机 网 络 依然 是 一 知 半 解 ， 尤 其 是 对 其 中 各 类 网 络 硬件 设备 的 认识 更 是 犹如 浮光掠影 ， 这 同 初学 者 深入 掌握 
计算 机 网 络 技术 的 殷切 期 望 形成 了 巨大 的 矛盾 。 


学 习 技 术 的 道路 上 没有 所 谓 的 银 弹 ， 相 信 本 书 能 够 在 很 大 程度 上 解决 这 个 矛盾 ， 帮 助 读者 扫 清 学 习 计算 机 
网 络 技术 时 遇 到 的 菜 些 障碍 。 


技术 无 国界 ， 本 书 作者 三 轮 贤 一 曾 从 事 ATM 交换 设备 中 TCP/IP 模块 的 开发 ， 长 期 在 硅谷 网 络 设备 公司 
本 分 公司 任职 ， 是 一 名 资深 的 业内 人 士 。 同 其 他 介绍 计算 机 网 络 知识 的 图 书 相 比 ， 本 书 在 谋 篇 布局 上 以 
OSI 网 络 七 层 模型 中 各 层 所 涉及 的 硬件 设备 为 主线 ， 依 次 介绍 了 在 实际 组 网 工程 中 使 用 的 各 个 硬件 设备 
一 一 交换 机 、 路 由 器 、 防 火 墙 等 ， 还 使 用 了 一 个 章节 的 篇 幅 介 绍 了 网 络 硬 件 设备 在 采购 、 运 维 方面 的 六 
事项 ， 层 次 分 明 、 有 具体 真实 ， 不 再 “故弄玄虚 ”; 在 叙述 的 方式 方法 上 ， 本 书 不 但 通过 大 量 实物 照片 、 讨 
数 、 图 表 等 充分 还 原 了 那些 在 计 算 机 网 络 原 理 中 提 到 的 种 和 “理论 ”网络 设 ， 而 且 在 其 中 大 量 穿插 介 
各 类 设备 所 涉及 的 进 阶 网 络 基础 知识 和 概念 ， 如 VPN、QoS、OSPF、RIP、MPLS 等 ， 理 论 结合 实践 ， 
再 “纸上谈兵 ”， 除 此 之 外 ， 本 书 还 有 一 个 特色 是 作者 在 对 每 一 类 硬件 设备 展开 介绍 之 前 ， 总 会 用 相当 的 
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昼 来 回顾 一 下 该 类 设备 的 发 展 历史 ， 不 惜 笔墨 地 介绍 该 类 设备 的 技术 沿革 和 所 涉及 的 重要 人 物 、 公 司 及 
志 性 历史 事件 ， 在 帮助 读者 了 解 计算 机 网 络 技术 发 展 来 龙 去 脉 的 同时 ， 也 让 读者 慢 慢 体会 到 本 书 在 非 技 
术 角度 所 反映 出 的 历史 人 文 底 萤 ， 同 单纯 刻板 介绍 计算 机 网 络 设备 的 认证 教材 、 快 速 建 网 指南 等 书籍 有 着 


综 上 所 述 ， 本 书 适合 以 下 读者 群体 : 


对 于 学 习 了 计算 机 网 络 原 理 ， 想 了 解 计 算 机 网 络 真实 设备 情况 的 读者 来 说 是 不 可 或 缺 的 参考 资料 ， 也 可 
作为 天 学 课 得 《| 算 机 网 络 》 的 扩展 读物 


2. 对 于 学 习 CCNA、CCIE 等 的 读者 来 说 是 锦上添花 的 辅助 读物 。 


3. 对 于 从 事 计 算 机 网 络 设 发 、 测 试 、 采 购 等 相关 工作 的 工程 技术 人 员 而 言 ， 也 非常 具有 参考 价值 。 
译 者 在 从 事 了 多 年 网 络 设 的 开发 和 测试 工作 后 ， 非 常 胖 能 够 翻译 这 么 一 本 书籍。 此 同时 也 由 隐 感 
到 ,我 国 在 计算 机 网 络 工 程 实践 的 技术 方面 ， 尤 其 在 我 国 计 算 机 网 络 硬件 设备 已 经 颇具 国际 竞争 力 的 今 
天 ， 非 常 缺 乏 本 书 这 类 的 书籍 。 由 于 原作 者 的 局 限 性 ， 本 书 对 我 国 现 网 中 普遍 使 用 的 华为 、 中 兴 、H3C 
等 公司 生产 的 计算 机 网 络 硬 件 设备 几乎 只 字 未 提 ， 这 点 不 得 不 说 非常 遗憾 ， 不 过 译 者 也 相信 在 不 久 的 未 
来 会 有 类 似 的 书籍 能 够 弥补 这 一 空缺 。 
译 者 能 力 、 精 力 有 限 ， 本 书 若 有 错误 之 处 ， 望 各 位 读者 及 时 指出 ， 不 胜 感激 。 
最 后 ， 译 者 非常 感谢 在 翻译 本 书 过 程 中 ， 妻 子 所 给 予 的 默默 支持 ! 
成 荣 
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一 一 
用 二 


随 着 互联 网 的 普及 ， 在 企业 的 开 部 门 以 及 系统 集成 商 中 专门 从 事 计 算 机 网 络 工作 的 工程 师 越 来 越 多 。 


前 ， 市 面 上 介绍 计算 机 网 络 技术 的 书籍 ， 几 乎 都 是 类 似 《 简 单 的 计算 机 网 络 入门 》 这 种 适合 那些 对 网 络 
二 天 所 知 的 初学 涩 的 信 门 蔬 ” 或 作 丰 《深入 学 习 TCETD 网 站 )》 这 和 绍 TCP/IP 技术 及 协议 规范 的 书籍 。 
0 A ee te 
或 自学 读本 。 


但 是 在 企业 中 实际 使 用 计算 机 网 络 时 ， 除 了 需要 掌握 基础 知识 以 外 ， 还 需要 进一步 了 解 计算 机 网 络 硬件 的 
采购 、 配 置 、 设 置 、 使 用 管理 等 相关 知识 。 在 过 去 的 10~20 年 里 ， 计 算 机 网 络 硬件 不 断 地 更 新 换代 , 茸 
发 、 文 持 的 功能 越 来 越 多 ， 产 品 操作 手册 也 越 来 越 厚 ， 但 术语 的 解释 说 明 却 仍旧 匮乏 ， 读 者 仅 靠 听课 或 自 
学 是 很 难 读 懂 这 些 手 册 的 。 
天 


此 ， 为 了 让 那些 有 定 计 算 机 网 络 基础 的 程 师 掌 握 更 加 具有 实践 性 的 产品 知识 ， 本 书 将 重点 介绍 作为 
网 络 构 成 要 素 的 节点 ， 即 具体 的 网 络 设 


凡 为 网 络 硬件 应 用 于 不 同 的 领域 ， 所 以 本 书 将 围绕 以 下 要 点 来 介绍 各 个 产品 的 规格 及 功能 ， 在 该 领域 存在 
怎样 的 硬件 产品 、 为 什么 需要 这 些 硬件 产品 、 这 些 产品 的 结构 如 何 、 这 些 产品 有 哪些 规格 和 局 限 性 等 。 


> 


LI 


2012 年 


本 书 出 现 的 信息 与 通信 硬件 一 览 


交换 机 分 布 式 交 换 机 核心 交换 机 


防火 墙 


无 线 LAN 接 入 点 


第 1 章 网 络 硬件 通用 基础 知识 


本 章 将 介绍 所 有 网 络 ! 硬件 通用 的 物理 层 标准 一 一 以 太 网 的 历史 、 标 准 种 类 及 其 实现 方法 。 另 外 ， 还 
将 进一步 介绍 CPU、 硬盘 、 电 源 、 线 缆 等 组 成 网 络 设备 所 需 部 件 的 相关 知识 。 


ae 。 本 书 所 指 的 网 络 特 指 计算 机 网 络 ， 需 要 和 传统 的 电信 了 网络 加 以 区 分 。 下 文中 若 无 特 别 说 明 ， 网 络 均 指 计算 机 网 
络 。 一 一 译 者 注 


Xx 


01.01 网 络 的 构成 要 素 


01.01.01 网络 有 哪些 构成 要 素 


构建 网 络 所 需 的 硬件 一 般 包括 交换 机 、 路 由 器 等 网 络 硬件 ， 以 及 个 人 计算 机 、 服 务 器 等 计算 机 硬件 ， 这 些 
硬件 统称 为 节点 ， 节 点 之 间 可 以 通过 链 路 进行 连接 ( 表 1-1) 。 


表 1-1 网 络 的 构成 要 素 


节点 计算 机 、 交 换 机 、 路 由 器 等 构成 网 络 的 硬件 均 可 
(node) “| 称 为 通信 节点 sn 链 路 
路 泛 指 将 各 个 节点 进行 连接 的 逻辑 线路 ,物理 上 可 
(link) 以 使 用 有 线 线 缆 或 者 无 线 电 波 < 节点 
主机 通过 网 络 为 其 他 机 器 提供 服务 的 计算 机 ， 也 称 为 “| 客户 端 主机 
(host) 服务 器 
户 端 指 从 主机 处 获得 服务 的 计算 机 (如 个 人 计算 机 服务 请 求 
(client) ) ， 也 称 为 终端 或 者 Terminal 服务 响应 
客户 端 服务 器 型 与 点 对 点 型 
根据 主机 和 客户 端 承 担 角 色 的 不 同 ， 可 以 将 网 络 分 为 客户 端 服务 器 型 和 点 对 点 型 ( 表 1-2) 。 


表 1-2 客户 端 服务 器 型 与 点 对 点 型 


客户 端 服 一 种 严格 区 分 服务 提供 方 和 服务 接受 方 的 架构 。 客 户 端 向 服务 器 请 求 服务 ， 而 服务 器 响应 客户 端的 服务 请 求 。 也 
务 器 型 称 为 垂直 分 布 或 功能 垂直 分 布 系统 
例如 : HTTP 通信 
一 种 不 严格 区 分 服务 提供 方 和 服务 接受 方 的 架构 。 参 与 网 络 的 计算 机 可 能 成 为 网 络 中 的 服务 器 ， 也 可 能 成 为 网 络 
点 对 点 型 | 中 的 客户 端 。 也 称 为 水 平分 布 或 功能 水 平分 布 系统 
例如 : Skype 通信 


LAN 和 WAN 
在 公司 或 学 校内 构建 的 LAN 


(Local Area Network， 


Network， 广 域 网 ) 


表 1-3 LAN/MAN/WAN 


有 很 大 的 不 同 ( 表 1-3) 。 


局 域 网 ) 与 通信 服务 供应 商 提 供 的 WAN (Wide Area 


名 称 | 英语 全 称 


说 明 


LAN 


Local Area 于 机 构 内 部 通信 和 与 信 


息 传递 。 常 使 


分 为 使 


Network 


线 缆 的 有 线 LAN 和 使 


以 太 网 技术 在 公司 或 学 校 等 
电波 的 无 线 LAN。 一 般 在 LAN 内 部 使 


局 部 的 地 理 范 转 


内 构建 网 络 。LAN 


私有 IP 地 址 


Metropolitan 


MA Area Network 


光缆 在 相距 较 远 的 校园 区 


又 或 城市 内 建立 


通信 的 网 络 ， 比 LAN 的 范围 


广 


Wide Area 了 


区 


电机 


WAN 


比 LAN 和 MAN 都 要 广 ， 用 于 跨 地 


Xl 


玉 | 


Network 


局 IP 地 址 ; 


信 


进行 通 


家 间 远 程 通 信 。 


般 


旺 信 运营 商 寻 


E 设 。 在 WAN 中 可 以 使 


在 大 部 分 情况 下 ，LAN 可 


使 


以 使 
支持 该 标准 的 交换 机 和 路 


以 太 
器 。 而 使 


( 双 级 线 ， 连接 交换 机 ， 然 后 


殉 帕 格式 的 以 太 网 (Ethernet) 书 
3 线 缆 连 接 的 LAN 时 ， 


\ 议 标准 进 和 
户 的 个 人 讨 


交换 机 连接 路 由 器 ， 最 终 克 


FE 路 


信 


通信 网 络 。 比 如 ， 


而 MAN (Metropolitan Area Network, 
一 个 大 型 企业 的 总 部 研 


由 器 处 理 跨越 异 构 子 


城 域 网 ) 和 WAN 是 在 地 到 


位 置 


斌 


与 各 个 分 部 的 连接 就 会 


了 通信 ， 


+ 算 机 则 可 此 


在 网 络 中 还 能 够 


通过 以 太 网 线 


相距 较 远 的 各 点 间 建 立 起 的 计算 
用 WAN。WAN 服务 如 表 1-4 所 示 ， 


网 和 发 送 至 互联 网 的 通 


机 
有 很 


到 类 。 使 用 方 可 以 根据 连接 组 网 的 地 点 能 否 使 用 该 服务 、 通 信 速 度 、 可 靠 性 、 租 用 资费 等 情况 进行 选 
溯 oo 


表 1-4 WAN 服务 的 种 类 ? 


| ?在 中 国 ， 三 大 运营 商 (中 国 移动 、 中 国联 通 、 中 国电 信 ) 提供 表格 中 所 述 的 业务 。 一 一 译 者 注 


用 途 WAN 服 务 电信 运营 商 


光纤 NIT 东 日 本 、NTT 西 日 本 、KDDI、 软 银 、 电 力 公 瑟 
ADSL NTT 东 日 本 、NTT 西 日 本 、KDDI、 软 银 、 电 力 公司 


WiMAX UQ WiMAX 
移动 通信 NTT DoCoMo、KDDI (au) 、 软 银 、E-mobile 
无 线 LAN NTT DoCoMo、KDDI (au) 、 软 银 、NTT 通 信 
成 以 太 网 NTT 东 日 本 、NTT 西 日 本 、NTT 通 信 
VPN IP-VPN NTT 通 信 
以 太 网 VPN NTT 通 信 
专线 A NTT 东 4 、 人 
数据 专线 NTT 东 日 本 、NTT 西 日 本 


可 以 将 互联 网 理解 为 全 世界 范围 内 WAN 的 互联 家庭 或 者 企业 在 连接 互联 网 时 ， 需 要 与 供应 商 (ISP， 
互联 网 服务 供应 商 ) 签订 合同 ， 通 过 供应 商 提供 的 接 入 点 来 完成 连接 。 而 接 入 点 的 连接 则 需要 通过 电信 运 
营 商 3 提供 的 承载 服务 来 完成 ， 承载 服务 包括 光缆 线路 、ADSL、 移 动 通信 和 网、 公共 无 线 LAN 等 。 


| 3 在 中 国 ， 一 般 ISP 和 电信 运营 商 是 同一 家 公司 ， 如 中 国电 信 、 中 国联 通 等 。ISP 中 较为 著名 的 有 歌华 宽带 、 长 城 宽带 等 。 一 一 译 者 注 


01.01.02 ”OSI 参考 模型 复习 
OSI 参考 模型 


在 20 世纪 70 年 代 ， 部 分 企业 为 了 降低 成 本 、 提 高 生产 效率 而 引入 了 当时 最 新 开发 出 的 以 太 网 技术 和 TCP 
协议 等 。 但 当时 使 用 的 网 络 协议 主要 有 IBM 公司 的 SNA、Apple 公司 的 AppleTalk、Novel 公司 的 
NetWare、 美 国 DEC 公司 的 DECnet 等 。 它 们 使 用 的 网 络 硬 件 也 因 不 同 的 生产 厂商 而 大 相 径 庭 ， 因 此 出 现 
了 不 同 网 络 之 间 不 能 互联 以 及 扩容 困难 的 问 题 。 


为 了 解决 这 一 问题 ， 使 得 任何 厂商 生产 的 网 络 硬件 之 间 都 能 够 互联 和 互通， 从 1977 年 开始 ，ISO (国际 标准 
化 组 织 ) 与 CCITT (国际 电报 电话 咨询 委员 会 ， 现 在 的 ITU-T4 ) 逐步 展开 了 制定 异种 网 络 系统 结构 标准 
的 工作 ， 当 时 完成 的 标准 化 的 协议 簇 称 为 OSI (Open Systems Interconnection， 开 放 系 统 互联 ) 。 到 了 
1983 年 ， 两 大 标准 组 织 在 该 问题 上 达成 一 致 ”， 制 定 了 称 为 OSI 基本 参考 模型 (Basic Reference Model for 
Open Syatems Interconnection，OSI 参考 模型 或 OSI 模型 ) 的 分 层 网 络 模型 。 该 标准 最 终 成 文 于 ISO 的 
ISO7498 与 CCITT 的 X.200。 


证 


| * 即 国际 电 信 联 盟 远 程 通 信 标 准 化 组 织 ， 是 制定 通信 网 络 标准 的 最 高 组 织 。- 译 者 注 


最 初 ， 两 大 标准 化 组 织 关注 的 领域 不 同 ， 国 际 电报 电话 咨询 委员 会 侧重 传统 电信 网 络 的 标准 制定 ，ISO 则 制定 更 高 层面 的 网 络 互联 互通 标 
Pe 展 ， 在 网 络 规范 的 部 分 二 者 界限 越发 模糊 ， 出 现 了 二 者 互 融 的 情形 ， 最 终 该 模型 以 两 大 组 织 颁 布 不 同 的 文件 
来 确 


此 


准确 地 说 ，OSI 参考 模型 是 仅 对 应 OSI 协议 簇 的 分 层 模 型 ，TCP/IP 等 其 他 协议 复 也 会 多 次 提 及 该 标准 。 
如 工 3 交换 机 中 的 工 3 表示 该 交换 器 处 理 到 OSI 参考 第 3 层 (Layer 3) 为 止 。 类 似 这 样 ， 将 OSI 模型 的 术 
语 作为 网 络 术 语 使 用 的 例子 非常 普遍 。 

使 用 分 层 结构 模型 具有 以 下 优点 。 


1. 根据 网 络 实际 处 理 过 程 ， 按 功能 分 类 ， 从 而 便于 理解 和 掌握 。 


2. 能 够 定义 标准 接口 ， 使 不 同 厂 商 制造 的 硬件 之 间 可 以 互联 。 
3. 工程 师 在 设计 与 研发 网 络 硬件 时 ， 可 以 把 思维 限定 在 一 定 范围 内 。 
4. 当 某 层 内 部 发 生变 化 时 ， 不 会 给 其 他 层 带 来 影响 。 
由 于 OSI 参考 模型 是 ISO 制定 的 ， 因 此 所 有 的 内 容 均 用 英语 表述 。 该 模型 中 的 7 层 分 别 表示 为 L1 (Layer 
1= 物理 层 ) 、L2 (Layer 2= 数据 链 路 层 ) .………. 表 1-5) 。 
表 1-5 OSI 参考 模型 分 层 
各 层 
答 符 | 正式 名 称 说 明 
第 1 
姑 | 物理 层 与 数据 处 理 没有 直接 关系 。 该 层 定义 了 发 起 、 维 持 和 结束 终端 系统 间 物 理 连接 的 电气 特性 、 机 械 特 
Layer | (physical | 性、 步 又、 功能 等 规格 。 具 体 而 童 。 该 层 定义 电 平 大 小 、 电 平 变化 时 机 、 物理 数据 传输 速率 、 最 长 通 
Layer) 信 距 离 、 连 搂 器 的 物理 形状 等 内 容 。 该 层 传输 的 数据 为 0 或 1， 也 称 为 比特 序列 (比特 流 ) 
El 
第 2 
本 yer | at。 | 保障 数据 在 通信 介质 通信 线 维 等 )》 上 传输 。 通 过 使 用 物理 层 地 址 (如 MAC 地 址 ) 来 确认 数据 会 发 送 
Tayer| (Datarlink | 至 何 处 。 该 层 传输 的 数据 称 为 帧 (Frame) 
ayer) 
2 
第 3 
层 “| 网 综 层 “| 定义 两 个 终端 系统 之 间 (地 理 上 距离 很 远 ， 可 能 还 有 其 间 经 过 多 个 网 络 硬件 的 情况 ) 的 连接 和 传输 路 
ayer| (Network 径 的 选择 (路 由 ) 
3 Layer) 
LL 人 3 
第 4 
| 隐藏 通信 实现 的 细节 ， 向 上 层 提供 数据 通信 服务 。 为 了 实现 高 可 靠 性 的 通信 ， 该 层 负 、 维 持 、 
Je | me po | 释放 虚 电 路 《Virtual Cireuit) ， 检 测 并 纠正 通信 故障 ， 提 供 流 控制 报 基 六 下 放 祝 可 和 下 所 没 册 
L4 
第 5 
层 “分销 屋 ”| 规定 了 通信 开始 与 结束 时 发 送 数 据 的 形式 等 内 容 。 在 该 层 内 建立 逻辑 上 的 通信 链 路 。 会 话 (Session) 
Layer| (Session | 是 指 在 两 个 通信 系统 之 问 进行 逻 界 通信 从 开始 到 结束 的 过 各 
ayer) 
Es 
第 6 
公 衣 不 瓜 
Layer | (Presentation | 定义 传输 数据 所 使 用 的 压缩 方式 以 及 数据 的 表现 形式 等 
6 Layer) 
L6 
第 7 
云 LS 
Layer | (Appiication | 定义 电子 邮件 SMTP 、 文 件 传输 的 FTP、 使 用 Web 浏 览 器 浏览 网 页 的 HTTP 等 用 于 特定 目的 的 软件 规格 
7 Layer) 
Er 


表 1-6 OSI 参考 模型 对 应 的 数据 形式 与 网 络 协议 范例 


层级 数据 形式 主要 网 路 协议 
物理 层 比特 流 (0 与 1 的 序列 ) EIA/TIA-232 (RS-232C) 、V.35、V.24、IEEE 802.3、FDDI、NRZ 等 
数据 链 路 层 “| 帧 IEEE 802.2、 帧 中 继 、ATM、PPP、HDLC 等 
网 络 层 分 组 、 数 据 报 IP、IPX、X.25 等 
传输 层 段 、 消 息 TCP、UDP 等 
会 话 层 应 用 数据 SSL 等 
表现 层 应 用 数据 ASCII 编 码 、EBCDIC 编 码 等 
应 用 层 应 用 数据 HTTP、FTP、SMTP、SNMP 等 


以 太 网 首 言 


分 组 有 效 载荷 


自 应 用 数据 


IP 分 组 
人 


图 1-1 L2~L4 的 数据 形式 


TCP/IP 层 模型 


厂 | 
~ 


TCP 段 


以 太 网 帧 格式 


TCP 分 层 模 型 是 1970 年 DARPA (美国 国防 先进 研究 项 目 


型 ， 也 可 称 为 TCP/IP 模型 、 互 联网 模型 等 ， 


表 1-7 OSI 参考 模型 与 TCP/IP 分 层 模 型 的 对 应 


该 模型 在 不 同文 献 中 的 表述 也 有 所 不 同 ( 表 1-7、 表 1-8) 。 
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局 ) 设计 的 、 在 RFC1122 中 定义 的 网 络 分 层 模 


OSI 各 层 名 称 TCP/P 各 层 名 称 
a 数据 链 路 层 (网 络 接口 层 、 网 络 接 入 层 ) 注 1 
数据 链 路 层 
网 络 层 网 络 层 
传输 层 和 专 输 层 
会 话 层 
表示 层 应 用 层 
应 用 层 


注 1: TCP/IP 分 层 模型 的 数据 链 路 


层 同 OSI 参考 模型 的 物理 


层 地 位 相当 ， 


但 六 


F 没 有 对 硬件 以 及 物理 数据 传输 等 进行 标准 化 定义 。 


表 1-8 TCP/IP 分 层 模 型 与 所 对 应 的 网 络 硬件 


分 层 地 址 对 应 的 网 络 硬件 
数据 链 路 层 (网 络 接口 层 ) MAC 地 址 L2 交 换 机 、 无 线 LAN 接 入 点 
网 络 层 IP 地 址 路 由 器 、L3 交 换 机 
传输 层 端口 号 〈TCP 端 口 、UDP 端 口 ) L4 交 换 机 、 防 火 墙 
应 用 层 根据 应 用 程序 的 不 同 而 不 同 L7 交 换 机 、 防 火 墙 、 代 理 


01.02 LAN 和 以 太 网 


01.02.01 LAN 的 标准 
DIX 标准 


头 太 网 (CSMA/CD) 以 美国 施乐 公司 (Xerox) 帕 罗 奥 多 研究 中 心 的 罗伯特 - 梅 特 卡 夫 (Robert Metcalfe) 
博士 所 设计 的 功能 为 原型 ， 由 IEEE 于 1973 年 组 织 发 布 。 当 时 的 施乐 公司 正在 开发 将 大 楼 内 部 数 百 台 计 
算 机 进行 联网 的 项 目 ， 为 了 将 不 同 制造 厂商 生产 的 设备 进行 连接 ， 美 国 DEC 公司 、Intel 公司 、 施 乐 公司 
共同 完成 了 以 太 网 的 标准 化 工作 6。 这 份 10Mbits 的 以 太 网 标准 的 命名 取 自 三 家 公司 的 首 字母 ， 被 称 为 
DIX 以 太 网 。 这 份 标准 作为 标准 化 文件 在 1980 年 发 布 了 第 1 版 ， 之 后 又 在 1982 年 发 布 了 第 2 版 。 现 在 人 
门 常 说 的 DIX 以 太 网 指 的 是 第 2 版 ， 因 此 本 文中 所 提 到 的 以 太 网 帧 格式 也 被 称 为 Ethernet II 成 帧 。 


5 下 。 这 次 标准 化 工作 中 还 有 一 家 十 分 重要 的 公司 的 参与 ， 即 从 施乐 公司 离职 的 罗伯特 - 梅 特 卡 夫 博士 创建 的 3COM 公司 。 
| 一 一 译 注 


SN 


IEEE 802.3 


1980 年 2 月 ，IEEE 的 802 委员 会 (委员 会 的 名 称 由 会 议 召 开 的 年 份 和 月 份 组 成 ) 制定 了 LAN 技术 的 医 
际 标准 。1983 年 又 以 DIX 以 太 网 第 2 版 为 原型 ， 制 定 了 IEEE 802.3 (10BASE5) 标准 。IEEE 802.3 中 的 
An DIX 以 太 网 标准 中 的 以 太 网 类 型 字段 ， 取 而 代 之 的 是 使 用 表示 数据 域 长 度 的 字段 (图 1- 
3 o 


OSI 参考 模型 DIX EEE 802 


IEEE 802.2 


IEEE 802.1 BRIDGING 


图 1-2 OSI 参考 模型 与 DIX 以 太 网 以 及 IEEE 802 的 关系 


多 DIX 以 太 网 
8 位 SS 6 46 ~1500 4 


天 


※“ 类 型 ”字段 的 数值 在 1500 以 上 。 


© IEEE 802.3 
7 位 加 漂 6 6 2 46 ~1500 大 


eT es 


"长度 / 类 型 ”字段 的 数值 在 1500 以 下 时 表示 长 度 字 段 ， 在 1563 以 上 时 表示 类 型 字段 ， 并 进行 相应 的 解析 。 
图 1-3 以太 网 帧 格式 
以 太 网 的 标准 


以 太 网 原本 仅 指 使 用 CSMA/CD 传输 媒介 的 控制 方式 ， 实 际 通信 速率 为 10Mbits 的 标准 ( 表 1-9 中 的 狭义 
以 太 网 ) 。 随 着 时 间 的 推移 ， 同 样 使 用 CSMA/VCD 技术 以 及 以 太 网 帧 格式 ， 但 通信 速率 为 100Mbit/s 的 快 
速 以 太 网 和 速率 为 1Gbits 的 千 兆 以 太 网 逐步 登场 。 而 且 从 快速 以 太 网 开始 ， 还 出 现 了 采用 了 全 双 工 通信 
方式 ， 而 不 是 CSMA/CD 技术 的 以 太 网 。 


到 千 兆 以 太 网 ， 半 双 工 通信 中 依然 保留 了 CSMA/CD 技术 规范 ; 到 了 万 兆 以 太 网 ， 就 彻底 移 除了 
CSMA/CD 规范 ， 所 有 通信 方式 均 采 用 全 双 工 方式 。 


en 以 太 网 这 一 术语 一 般 用 来 表示 图 1-3 中 使 用 以 太 网 帧 格式 进行 通信 的 网 络 ( 即 表 1-9 中 的 广义 以 太 
网 ) 。 


表 1-9 ”以 太 网 的 分 类 


广义 以 太 网 狭义 以 太 网 DIX 以 太 网 10Mbit/s 以 太 网 使 用 CSMACD 
IEEE 802.3 


IEEE 802.3u ”| 100Mbit/s 以 太 网 | 可 以 选择 使 用 CSMA/CD 
IEEE 802.3z | 1Gbivs 以 太 网 | 
IEEE 802.3ae 。 | 10Gbivs 以 太 网 | 不 使 用 CSMACD 


IEEE 802.3ba 40/100Gbits 以 太 网 


IEEE 802.3 标准 根据 使 用 的 传输 线 绕 和 传输 速度 的 不 同 ， 有 10BASE-T、10BASE-TX 等 名 称 。 命 名 规则 
如 图 1-4 所 示 ， 规 则 更 为 详细 的 信息 如 表 1-10~1-14 所 示 。 


1000 BASE-S X 


速度 ”调制 方式 ”传输 媒介 ”编码 体系 lane 


a 


40GBASE-LR4 


图 1-4 标准 的 命名 规则 
7Lane 是 在 40G/100G 以 太 网 传输 媒介 中 使 用 的 并 行 传输 通道 。 
表 1-10 IEEE 802.3 定义 的 链 路 速率 


条 目 传输 速率 


1 1Mbit/s 


传输 速率 


条 目 
0 10Mbit/s 
00 100Mbit/s 
1000 1Gbit/s 
0G 10Gbit/s 
40G 40Gbit/s 
100G 100Gbit/s 
* 速率 表 项 (传输 速率 使 用 M (G) bits 为 单位 表示 ) 
表 1-11 IEEE 802.3 定义 的 调制 方式 
条 目 调制 方式 
BASE Baseband (基带 信号 ) 。1 根 线 缆 只 传输 1 个 信号 
BROAD Broadband (宽频 信号 ) 。1 根 线 缆 能 够 传送 多 个 信号 
表 1-12 IEEE 802.3 定义 的 传输 媒介 
条 目 传输 媒介 
5 最 长 为 500 米 的 粗 同 轴线 缆 
2 最 长 为 185 米 的 细 同 轴线 缆 
T Twisted Pair ( 双 绞 线 ) 
F Fiber (光纤 ) 
K Copper Backplane (由 铜 线 组 成 的 背 板 ) 
B Bi-directional (1 芯 单 模 光缆 ) 
S Short Reach (100m) (2 芯 多 模 光 缆 ) 


条 目 传输 媒介 
赴 Long Reach (10km) 〈2 必 单 模 或 多 模 光 缆 ) 
E Extended Long Reach (40km) 外 模 光 缆 ) 
7 Long Reach Simple Mode (70km) (2 芯 单 模 光缆 ) 
C Co-axial (2 心平 衡 式 屏蔽 同 轴线 缆 ) 
P PON 《1 区 单 模 光缆 ， 单 点 到 多 点 ) 


表 1-13 IEEE 802.3 定义 的 编码 体系 


条 目 
2 在 快速 以 太 网 时 使 用 4B/5B 作 为 分 组 码 
在 千 兆 以 太 网 时 使 用 8B/10B 作 为 分 组 码 
R 使 用 64B/66B 作 为 分 组 码 


表 1-14 IEEE 802.3 定 义 的 lane 


条 目 


在 同 轴线 缆 中 表示 使 用 


4 个 或 者 10 个 lane 


在 光纤 中 ，lane 还 可 以 表示 波长 数量 。 波 长 为 1? 时， 可 以 省 略 


01.02.02 ”以 太 网 
10Mbit/s 以 太 网 


最 初 的 IEEE 802.3 标 } 


1988 年 ，IEEE 802 委员 会 增加 了 10BASE2 (802.3a) 标准 ， 
年 又 制定 了 10BASE-T (802.3i) 


这 一 标准 实施 便捷 ， 很 快 便 普及 开 来 。 


络 ， 向 使 用 集线器 交换 机 的 新 型 网 络 过 


1993 年 ， 委 员 会 制定 了 使 用 光纤 作为 传输 


标准 ， 


模 最 大 也 不 过 和 覆盖 方圆 数 百 米 ， 但 是 通过 10BASE-F 标准 ， 


表 1-15 总 结 了 速率 为 


10Mbit/s 的 以 太 网 的 发 展 历史 ， 表 1-16 总 结 了 了 


表 1-15 10Mbits 以 太 网 的 历史 


被 称 为 10BASE5， re ee 


以 成 本 更 为 低廉 、 
oh 


前 媒介 的 10BASE-F (802. 3j) 


标准 。 在 这 之 前 ， 以 太 网 的 建 


答 距 离 延 长 至 2km 。 


FE 要 10Mbits 以 太 网 的 标 


标准 


制定 
年 份 


粗 同 轴线 绕 作 为 网 络 传输 媒介 
方便 的 同 轴线 绕 作为 传输 媒介 
过 由 限 性 单 的 双 绞 线 作 为 传输 媒介 
以 太 网 拓扑 结构 也 从 之 前 使 


同 轴 线 缆 的 总 引 


制定 


标准 年 份 内 容 
Alto Aloha Network |1972 A al 、 打印 机 等 设备 进行 网 络 互联 的 方案 。 传 输 速 率 使 用 了 Alto 的 
以 太 网 说 Alto 以 外 的 计算 机 网 络 互联 。 以 设想 的 用 来 传播 电磁 波 的 物质 以 太 (Ether) 8 来 命名 
和 1976 | 发 表 于 NCC (National Computer Conference) 
DIXg 太 网 Verl0 | 3980 | 由美 国 DEC 公司 、 Intel 公司 施乐 公司 三 家 公司 制定 的 标准 ， 采 用 粗 同 轴线 缠 传 输 * 传 条 速率 
DIX 以 太 网 Ver2.0 “| 区 82 | 也 称 为 Ethemet I[。 如 今 专 指 DIX 以 太 网 标准 


人 仍 93 | 由 IEEE 802 工 程 委员 会 制定 的 标准 (与 DIX 以 太 网 Ver2.0 几 乎 完全 一 致 ) 
(10BASE5) 年 
Ne 2388 | 使 用 细 同 轴线 缆 作 为 传输 媒介 的 标准 
a J990 | 使 用 双 绞 线 作为 传输 媒介 的 标准 
加 | 把 | 使 用 光缆 作为 传输 媒介 的 标准 
8 该 物质 最 终 被 证 明 不 存在 。 一 译 者 注 


表 1-16 ”主要 的 10Mbit/s 以 太 网 的 标准 


条 目 制定 年 代 | IEEE 标 准 | 传输 速率 | 编码 传输 媒介 最 大 传输 距离 

0BASE5 |1983 年 ”|IEEE 802.3 |10Mbit/s | 曼彻斯特 | 粗 同 轴线 缆 (Thick Cable 也 叫做 Yellow Cable) 500m 

10BASE2 |1988 年 ”|IEEE 802.3a |10Mbit/s | 曼彻斯特 | 细 同 轴线 缆 (Thin Cable) 185m 

10BASE-T |1990 年 。 |IEEE 802.3i |10Mbit/s | 曼彻斯特 | 双 绞 线 (UTP) 100m 

10BASE-F |1993 年 ”|IEEE 802.3j |10Mbit/s | 曼彻斯特 | 光缆 (MMEF) 2km 
快速 以 太 网 
1995 年 ， 传 输 速 率 达 到 100Mbits 的 快速 以 太 网 (Fast Ethemet) 完成 了 标准 化 进程 ， 以 100BASE-T 的 身 
份 加 入 了 以 太 网 家 族 。 在 快速 以 太 网 进入 市 场 后 ， 支 持 全 双 工 通信 的 交换 集线器 取代 了 效率 低下 的 半 双 工 
通信 的 收发 集线器 ， 逐 步 成 为 主流 。 


在 快速 以 太 网 标准 中 使 用 5 类 UTP 线 缆 的 100BASE-TX 应 用 最 为 普遍 ， 目 前 ， 几 乎 所 有 个 人 计算 机 所 携 
带 的 网 卡 都 应 用 了 这 一 标准 。 
为 了 和 之 前 的 10BASE-T 兼容 ，IEEE 802.3u 标准 还 定义 了 相应 的 目 适应 技术 标准 。 目 适应 技术 按照 表 1- 
19 的 顺序 通过 UTP 线 线 两 端的 硬件 获取 信息 ， 这 些 信息 包括 该 网 络 是 使 用 10BASE-T 还 是 100BASE-T， 
全 双 工 还 是 半 双 工 通信 等 ， 以 此 决定 最 适合 该 网 络 的 通信 速率 来 连接 通信 。 
表 1-17 介绍 了 快速 以 太 网 的 历史 ， 表 1-18 总 结 了 主要 的 快速 以 太 网 的 标准 。 
表 1-17 快速 以 太 网 的 历史 
标准 制定 年 份 内 容 
IEEE 802.3u (100BASE-T) 1995 年 传输 速率 为 100Mbit/s 的 快速 以 太 网 与 自 适应 技术 的 标准 化 
IEEE 802.3y (100BASE-T2) 1998 年 使 用 3 类 UTP 双 绞 线 的 快速 以 太 网 标准 


表 1-18 主要 的 快速 以 太 网 的 标准 


100BASE-TX° 


表 1-19 快速 以 太 网 的 自 适应 优先 顺序 注 


条 目 
100BASE-T 
100BASE-TX 
100BASE-T4 


IEEE 标准 
IEEE 802.3u 


传输 速率 
100Mbit/s 


编码 


[se | UTP 


传输 媒介 


最 大 传输 距离 
100m 


100Mbit/s 


4B5B/MLT-3 | UTP 


(2 对 5 类 ) 


100m 


100Mbit/s ( 仅 半 
双 工 ) 


8B6TPAM-3 | UTP 


(4 对 3 类 ) 


100m 


100BASE-FX 


IEEE 802.3u 


100Mbit/s 


4B/5B NRZI 


光缆 ( MMF ) 


400m | 
2Km | 


半 双 工 )、 


全 双 工 ) 


100BASE-T2 


注 1: 100BASE-T 是 100BASE-TX、 


优先 级 


IEEE 802.3y 


100Mbit/s 


PAM5x5 UTP 


100BASE-T4、100BASE-T2 的 统称 。 


以 太 网 通信 模式 


(2 对 3 类 ) 


前 100BASE-T4、100BASE-T2 几乎 不 


100m 


使 


100BASE-T2 (全 双 工 ) 


100BASE-T2 


100BASE-TX (全 双 工 ) 


( 半 双 工 ) 


100BASE-T4 (车 


E 双 工 ) 


100BASE-TX (9 


10BASE-T (全 双 ] 


# 双 工 ) 


10BASE-T 


(3 


长 双 卫 


连接 的 两 个 设 


中 最 高 优先 级 的 通信 模式 。 


千 兆 以 太 网 


千 兆 以 太 网 的 最 初 标准 制 定 于 1998 年 。 使 用 光纤 作为 传输 媒介 的 1000BASE-SX 和 1000BASE-LX 
示 准 ， 与 使 用 双 绞 线 的 1000BASE-T 有 很 天 的 区 别 


表 1-21、 表 1-22) 。 


一、 


最 新 的 个 人 计算 机 已 经 安装 了 支持 10/100/1000BASE-T 千 兆 以 太 网 的 网 卡 。 这 种 10/100/1000BASE-T 网 卡 
是 指 能 和 自 适 应 10BASE-T、100BASE-TX 以 及 1000BASE-T 这 3 种 传输 速率 ， 并 且 能 够 自动 检测 出 是 半 
双 工 还 是 全 双 工 的 网 络 接口 设备 。 


太 网 标准 是 最 后 一 个 使 用 CSMA/VCD 技术 方式 进行 通信 的 标准 。 由 于 CSMA/CD 所 使 用 的 半 双 工 通 
信 效 率 低 下 ， 后 续 的 标准 便 均 以 全 双 工 方式 予以 替代 。 


千 兆 以 太 网 还 拥有 如 表 1-20 所 列 出 的 可 选 功能 。 
表 1-20 千 兆 以 太 网 的 可 选 功能 


在 千 兆 以 太 网 中 ， 被 称 为 512bit 时 间 的 CSMAVCD 神 突 检 测 时 间 仅 有 极 短 的 512 纳 秒 ， 这 会 导致 硬件 在 侦 测 出 冲突 之 前 就 已 

广 将 数据 全 部 发 出 ， 从 而 引起 网 络 事故 。 人 展 到 了 512bit， 当 发 送 不 足 512bit 的 数 
苹 

巩 


pr! 


据 时 ， 自 动 将 其 扩展 到 512bit， 超 出 原 数据 的 填充 (padding) 部 分 称 为 载波 扩展 (Carrier Extension) 


起 防范 在 发 送 大 量 小 数据 帧 时 带 来 的 传输 速率 低下 的 问题 。 首 先 对 第 1 个 数据 帧 进行 载波 扩展 ， 而 随后 的 数据 帧 无 需 扩 
发 展 ， 仅 将 短 帧 连续 发 送 。 最 大 能 够 一 次 性 发 送 8192bit 大 小 的 数据 帧 


起 


巨 | 将 以 太 网 最 大 的 数据 帧 长 度 从 1518bit 扩 展 到 8 000~15 000bit， 人 险 效 率 ? 。 但 巨型 帧 在 IEEE 802.3 系 列 中 没有 明 
上 人 这 使 得 各 个 通信 设备 制造 厂商 的 产品 实现 也 各 不 相同 ， 需 要 在 使 用 之 前 确认 接收 方 设备 是 否 能 够 解析 该 
起 巨型 帧 


? 但 由 于 向 后 兼容 等 各 种 问题 的 存在 ， 目 前 ， 巨 型 帧 并 未 得 到 普及 。 译 者 注 


表 1-21 千 兆 以 太 网 的 历史 


标准 制定 年 份 内 容 
IEEE 802.3z (1000BASE-X) 1998 年 定义 了 使 用 光纤 作为 传输 媒介 、 速 率 为 1Gbitvs 的 千 兆 以 太 网 标准 
IEEE 802.3ab (1000BASE-T) 1999 年 定义 了 使 用 双 绞 线 作 为 传输 媒介 、 速 率 为 1Gbit/s 的 千 兆 以 太 网 标准 


表 1-22 主要 的 以 太 网 标准 


表 项 制定 年 份 | IEEE 标 准 | 传输 速率 编码 传输 媒介 最 大 传输 距离 
1000BASE-SX MMF (波长 850nm) 500m 
MMF (波长 1300nm) 550m 
1000BASE-LX 
1998 年 “|IEEE 802.3z |1Gbits |8B10B/NRZ SMF (波长 1310nm) 5km 注 2 
1000BASE-ZX SMF (波长 1550nm) 70 ~100km 
1000BASE-CX 150Q8 平 衡 屏蔽 双 绞 线 25m 


1000BASE-T 1999 年 ”|IEEE 802.3ab | 1Gbits ”|8B1Q4/4D-PAM5 | UTP (4 对 超 5 类 ) 100m 


1000BASE-TX 注 1|2001 年 “|TIA/EIA-854 | 1Gbits ”|8B1Q4/4D-PAM5 |UTP (4 对 6 类 


100m 
1000BASE-BX 2004 年 “|IEEE 802.3ah | 1Gbits | 8B10B/NRZ SMF (下 行 1490nm， 上 行 1310nm) | 10km 


注 1: 目前 ，1000BASE-TX 已 经 不 再 使 


注 2: 同时 也 存在 被 称 为 1000BASE-LX/LH 或 1000BASE-LH 的 产品 ( 
大 传输 距离 远 远大 于 1000BASE-LX 的 输出 ， 能 够 延伸 至 10~40km 。 


表 1-23 千 兆 以 太 网 的 自 适应 优先 顺序 注 1 


商 独 自 扩展 ， 并 非 IEEE 标准 ) 。 该 产品 使 用 了 2 世 光 纤 ， 使 得 最 


优先 级 以 太 网 通信 模式 
9 1000BASE-T (全 双 工 ) 
8 1000BASE-T ( 半 双 工 ) 
7 100BASE-T2 (全 双 工 ) 
6 100BASE-TX (全 双 工 ) 
5 100BASE-T2 ( 半 双 工 ) 
4 100BASE-T4 ( 半 双 工 ) 
3 100BASE-TX ( 半 双 工 ) 
2 10BASE-T (全 双 工 ) 
1 10BASE-T ( 半 双 工 ) 
注 1: 指 采用 连接 的 两 个 设备 所 支持 的 最 高 优先 级 通信 模式 。 


万 兆 以 太 网 
2002 年 ，IEEE 802 委员 会 制定 了 最 大 传输 速率 为 10Gbits 的 万 兆 以 太 网 标准 IEEE 802.3ae。 当 时 的 IEEE 
802.3ae 标准 中 采用 光纤 为 传输 媒介 ， 最 大 传输 速率 为 10Gbit/s。 随 后 2006 年 又 制定 了 使 用 双 绞 线 的 IEEE 
802.3an 万 兆 以 太 网 标准 。 


4 


万 兆 以 太 网 由 于 传输 速度 非常 快 ， 因 此 在 该 标准 中 很 难 继续 使 用 冲突 检测 机 制 ， 在 半 双 工 通信 时 也 不 再 使 
原先 的 CSMAVCD 方式 了 。 所 以 也 就 不 再 通过 集线器 ， 而 是 使 用 交换 机 建立 全 双 工 通信 和 链 路 。 

万 兆 以 太 网 不 再 仅仅 局 限 在 LAN 中 使 用 ，MAN 以 及 WAN 也 逐步 开始 使 用 该 技术 。 数 据 链 路 层 的 MAC 
子 层 也 和 以 往 的 以 太 网 相同 ， 帧 的 长 度 是 从 64bit 到 1518bit， 没 有 任何 变化 。 

万 兆 以 太 网 的 物理 层 中 定义 了 两 部 分 内 容 ， 其 中 一 部 分 是 与 之 前 以 太 网 兼容 的 LAN PHY 的 内 容 ， 另 一 部 
分 则 是 在 作为 通信 基础 设施 供应 商 的 骨干 网 使 用 的 SONET/SDH 标准 中 ， 与 OC-192 兼容 的 WAN PHY 的 


内 容 ( 表 1-25) 。 
表 1-24 万 兆 以 太 网 的 历史 


标准 制定 年 份 内 容 
IEEE 802.3ae (10GBASE-X) 2002 年 传输 速率 为 10Gbit/s 的 10Gigabit Ethernet 的 标准 
IEEE 802.3an (10GBASE-X) 2006 年 使 用 双 绞 线 作为 传输 媒介 的 10Gbivs 以 太 网 标准 
表 1-25 主要 的 万 兆 以 太 网 标准 
表 项 制定 年 份 | IEEE 标 准 “| 传送 速率 编码 方式 传输 媒介 最 大 传输 距离 
10GBASE-SR |2002 年 ”|IEEE 802.3ae |10Gbit/s |64B/66B MMF (LAN PHY) 850nm |300m 
10GBASE-LR |2002 年 a” |IEEE 802.3ae |10Gbit/s |64B/66B SMF (LAN PHY) 1310nm |10km 
0GBASE-ER |2002 年 ”|IEEE 802.3ae |10Gbit/s |64B/66B SMF (LAN PHY) 1550nm |40km 
10GBASE-SW |2002 年 ”|IEEE 802.3ae |10Gbit/s |64B/66B WIS 注 ! | MMF (WAN PHY) 300m 
0GBASE-LW |2002 年 ”|IEEE 802.3ae |10Gbit/s |64B/66B WIS SMF (WAN PHY) 10km 
10GBASE-EW |2002 年 “|IEEE 802.3ae |10Gbit/s |64B/66B WIS SMF (WAN PHY) 40km 
10GBASE-T 2006 年 。 |IEEE 802.3an |10Gbiys |LDPC 注 2 UTP/STP (6 类 ) 100m 
注 1: WIS， 广 域 网 接口 子 层 (WAN Interface Sublayer) 的 英文 首 字 母 缩写 
注 2: LDPC， 低 密度 奇偶 校 验 码 (Low-Density Parity-Check) 的 英文 首 字母 缩写 
40G/100G 以 太 网 1 
10 400G 的 以 太 网 标准 工作 已 于 2013 年 4 月 正式 启动 。 一 一 译 者 注 
2010 年 6 月 ，40Gbit/s 和 100Gbits 的 以 太 网 标准 化 工作 完成 。 同 万 兆 以 太 网 一 样 ， 该 标准 中 仪 支持 全 双 
工 通信 ， 对 以 太 网 帧 的 格式 没有 做 任何 改变 。 
表 1-26 40G/100G 以 太 网 历史 
标准 制定 年 份 内 容 
IEEE 802.3ba 2010 年 制定 了 传输 速率 为 40Gbit/s 与 100Gbit/s 的 新 一 代 以 太 网 标准 
表 1-27 主要 的 40G/100G 以 太 网 标准 
表 项 制定 年 份 IEEE 标 准 传送 速率 | 编码 方式 传输 媒介 最 大 传输 距离 


40GBASE-KR4 


IEEE 802.3ba 


2010 年 


40Gbit/s 64B/66B 


背 板 (back plane) 


1m 


表 项 制定 年 份 IEEE 标 准 传送 速率 | 编码 方式 传输 媒介 最 大 传输 距离 
40GBASE-CR4 2010 年 IEEE 802.3ba 40Gbit/s 64B/66B 同 轴线 缆 10m 
40GBASE-SR4 2010 年 IEEE 802.3ba 40Gbit/s 64B/66B MMEF 100m 
40GBASE-LR4 2010 年 IEEE 802.3ba 40Gbit/s 64B/66B SMF 10km 

00GBASE-CR10 2010 年 IEEE 802.3ba 100Gbit/s “| 64B/66B 同 轴线 缆 10m 
100GBASE-SR10 2010 年 IEEE 802.3ba 100Gbit/s “| 64B/66B MMEF 100m 
100GBASE-LR4 2010 年 IEEE 802.3ba 100Gbit/s “| 64B/66B SMF 10km 
100GBASE-ER4 2010 年 IEEE 802.3ba 100Gbit/s “| 64B/66B SMF 40km 


01.03 ”以 太 网 标准 的 数据 处 理 


01.03.01 ”以 太 网 上 的 数据 


以 太 网 上 传输 的 数据 在 数据 链 路 层 以 MAC 幅 (以 太 网 帧 格式 ) 的 形式 存在 ， 最 终 会 被 转换 为 传输 媒介 
UTP 线 缆 上 的 电气 信号 。 电 气 信号 转换 的 过 程 中 会 根据 不 同 的 标准 采用 不 同 的 编码 方式 ( 表 1-28) 。 


表 1-28 使 用 UTP 的 LAN 标准 数据 式样 


标准 。” | 区 编码 线性 编码 。 “| 1 对 传输 信号 率 (Mbaud ) *，| ”传送 UTP 对 数 | 
10BASE-T 曼彻斯特 se 20 |1 
100BASETX |4B58 | Murs 125 |1 
100BASE-T | 4D-PAM5 PAM5 125 |4 


注 1: Mbaud 是 106baud ( 波 特 ) 。1 个 baud 表示 一 秒 内 信号 的 变化 次 数 。 在 工 个 脉冲 传输 1bit 信号 时 ，1baud=1bivs ; 当 1 
信号 时 ，1baud=2bit/s 。 


另外 ， 以 太 网 采用 小 端 (little endian， 也 称 为 Canonical) 顺序 方式 来 传输 比特 流 ， 也 就 是 说 对 于 1 个 字 节 
(8bit) 的 数据 ， 会 从 最 低位 (LSB，Least Significant Bit) 开始 传送 。 小 端 顺序 如 表 1-29 所 示 ， 将 每 8bit 
。 的 0 与 1 顺序 颠倒 进行 传送 。FDDI 以 及 令 牌 环 等 网 络 ， 则 采用 大 端 (big endian) 顺序 进行 传输 数 


在 网 络 上 进行 传输 的 二 进 制 数 据 所 使 用 的 字 节 排列 顺序 也 称 为 网 络 字 节 序 。TCP/IP 协议 中 包括 首部 在 内 
均 使 用 大 端 顺 序 即 从 最 高 位 (MSB，Most Significant Bit) 开始 传送 数据 。 


表 1-29 小 端 与 大 端的 比较 


之 


床 冲 传输 2bit 


标准 比特 顺序 | ”IP 地址 192.168.1.254 (采用 二 进 制 表 示 为 11000000 10101000 00000001 11111110) 的 比特 序列 


以 太 网 小 端 00000011 00010101 10000000 01111111 


标准 比特 顺序 | ”IP 地 址 192.168.1.254 (采用 二 进 制 表示 为 11000000 10101000 00000001 11111110) 的 比特 序列 


FDDI、 令 牌 环 11000000 10101000 00000001 11111110 


- 工 


01.03.02 10BASE 
在 10BASE-T 中 使 用 曼 


斯 特 编 码 (或 称 曼彻斯特 码 ) 的 方式 让 转换 的 电气 信号 在 双 绞 线 上 传输 。 从 


Preamble 字段 1 得 

采用 -V、0、+V 三 
趟 “10”, “1” 表 示 “01”。 
估 。 


dl 


于 


图 1-3。 


| 12 NRZ 表示 Non-Return-to- 


到 20MHz 的 时 钟 频率 与 10Mbits 的 NRZ™ 数据 进行 逻辑 异 或 运算 ， 得 到 在 20MHz 
个 电 平 数值 发 送信 号 (V 表示 电压 ) 。 该 运算 过 程 如 图 1-5 所 示 ，“0” 表 
通过 曼彻斯特 编码 后 ， 直 流 信 号 部 分 将 不 复 存在 ， 从 而 抑制 了 信号 衰减 带 来 的 干 


1 preamble 字段 是 以 太 帧 的 首 个 字段 ， 在 Pre 字段 中 0 与 1 交替 使 用 。DIX 以 太 网 标准 采用 8 位 数据 ，IEEE 802.3 采用 7 位 数据 表示 。 参 考 


二 


Zero， 即 不 归 零 码 ， 是 一 种 不 依赖 使 用 1 表示 高 电 平 、0 表示 低 电 平 的 时 序 编码 。 


另外 ， 在 以 太 网 帧 格式 之 间 会 定期 发 送 Link Test Pulse 信号 。 


20MHz 
一 


( 从 Preamble 中 获取 ) 


10MHz(10Mbps) 
= 


oun LILIL 


| 1 中 i 由 


a 7 | | [1] TTT 


图 1-5 10BASE-T 曼彻斯特 编码 


在 wt 使 用 


4 对 双 绞 线 中 的 1 对 (1 号 与 2 号 ) 信号 线 作 为 10Mbit/s 信号 的 发 送 源 ，1 对 (3 


号 与 6 号 ) 信和 号 线 用 


加 涨 


中 莹 


于 10Mbivs 信号 的 接收 ， 剩 余 两 组 空 闪 不 用 。 


使 用 3 类 ( 最 大 带宽 为 16MHz ) 
UTP 线 缆 


不 使 用 这 里 绞 在 一 起 的 两 个 对 线 


图 1-6 10BASE-T 的 数据 发 送 


了 3 指 网 络 控制 器 ， 


具体 内 容 请 参考 第 2 章 。 


01.03.03 100BASE-TX 


在 100BASE-TX 的 标准 中 不 再 使 用 曼彻斯特 编码 ， 而 是 使 用 了 一 种 叫做 MLT-3 (Multi-Level Transition ) 
的 编码 方式 。 该 编码 方式 使 用 -V、0、+V 三 个 数值 ， 当 下 一 个 数据 为 0 时， 保持 信号 电 平 不 变 ， 当 下 一 
个 数据 为 1 时， 信号 电 平 跳 转 。 这 样 使 信号 电压 变化 z 稳 ， 能 够 减少 少 信和 号 传递 中 的 车 波 效 量 


wa 


图 1-7 100BASE-TX 的 MLT3 编码 


在 使 用 MLT-3 编码 时 ， 数 据 如 果 连 续 为 0， 信 和 号 电 平 将 不 会 发 生 任何 变化 ， 这 将 导致 接收 方 无 法 检测 出 每 
一 个 时 钟 频率 。 为 了 避免 这 一 问题 ， 标 准 中 采取 了 将 4bit 数据 转换 为 的 方法 〈 表 1-30) 。 这 样 一 
来 ， 既 能 保证 在 发 送 的 5bit 数据 中 有 两 个 以 上 的 “1”， 也 能 够 在 数据 连续 为 “0 时 ， 找 得 到 同步 的 位 置 。 
外 ， 还 能 加 入 特殊 的 控制 码 。 


表 1-30 4B5B 转换 表 


. 


名 称 4bit 5bit 说 明 
0 0000 11110 十 六 进 制 的 “0” 
1 0001 01001 十 六 进 制 的 “1” 
2 0010 10100 十 六 进 制 的 “2” 
3 0011 10101 十 六 进 制 的 “3” 
4 0100 01010 十 六 进 制 的 “4” 
5 0101 01011 十 六 进 制 的 “5” 
6 0110 01110 十 六 进 制 的 “6” 
也 0111 01111 十 六 进 制 的 “7” 
8 1000 10010 十 六 进 制 的 “8” 
9 1001 10011 十 六 进 制 的 “9” 
A 1010 10110 十 六 进 制 的 “A” 
B 1011 10111 十 六 进 制 的 “B” 


名 称 4bit 5bit 说 明 

C 1100 11010 十 六 进 制 的 <C” 

D 1101 11011 十 六 进 制 的 “D” 

E 1110 11100 十 六 进 制 的 “E” 

F TW 11101 十 六 进 制 的 “F” 

Q 无 00000 Quiet (信号 减弱 ) 

I 下 11111 Idle (无 信号 时 发 送 ) 

J 无 11000 Start (1) (分 组 开始 ) 

K 无 10001 Start (2) (分 组 开始 ) 

T 无 01101 End (分 组 结束 ) 

R 无 00111 Rest ( 重 置 ) 

S 无 11001 Set (设置 ) 

H 到 00100 Halt 《中 端 ) 
由 于 将 原来 4bit 的 数据 以 5bit 的 方式 发 送 ， 就 使 得 发 送 速率 为 100Mbit/s 的 数据 实际 需要 发 送 速 率 为 
125Mbit/s 的 电 平 信号 。4B5B 编码 在 速率 为 100Mbit/s 的 FDDI 中 也 会 使 用 ， 但 光纤 传播 使 用 光 的 明暗 来 
发 送 数据 ， 因 此 不 再 使 用 需要 用 3 个 数值 传输 信号 的 MLE3， 而 是 使 用 只 需 两 个 值 的 NRZIM 进行 编码 。 


在 NRZI 中 一 个 周期 可 发 送 2bit 的 数据 ， 因 此 只 需要 原来 比特 率 的 二 分 之 一 周期 ， 即 可 发 送 1bit 的 数 
据 。 所 以 125Mbit/s 的 电 平 信号 只 需 62.5MHz 带宽 即 可 。 当 使 用 MLT-3 时 ， 一 个 周期 内 可 以 发 送 4bit 的 
数据 ， 即 只 要 使 用 原来 比特 率 二 分 之 一 的 带宽 31.25MHz， 就 能 完成 数据 的 发 送 。 这 样 的 话 ， 尽 管 5 类 
UTP 线 缆 最 多 可 以 只 使 用 100MHz 的 电 平 信号 ， 但 是 通过 使 用 MLT-3 并 采用 了 4B5B 编码 转换 后 ， 也 就 
没有 什么 问题 了 。 


14 NRZI 是 Non-Return-to-Zero Inverted 编码 的 缩写 。 如 图 1-8 所 示 ， 当 


进行 信号 反 转 ， 为 0 时 则 保持 不 变 。 


此 
念 
王 
| 
必 汉 
也 
JI 
过 
请 
浅 


由 


为 了 实现 100BASE-TX 自 适 应 功能 ， 在 j 台 机 器 网 之 间 进 行 物理 连 线 后 ， 相 互 连 接 的 设备 会 发 送 一 个 
名 为 Fast Link Pulse 的 脉冲 信和 号， 通过 该 脉冲 信号 检测 出 双方 的 通信 速率 和 各 自 支 持 的 通信 模式 与 ， 并 根 
据 该 信息 自动 选择 合适 的 运行 模式 


在 连续 0 或 1 这 样 连续 、 平 稳 的 电 平 信号 NRZ 


中 很 难 获取 其 中 包含 的 时 钟 频率 0 表示 低 电 平 ，1 表 示 高 电 平 
0 1 个 波段 ( 1 个 周期 ) 可 以 包含 2bit 的 信息 


111100001010 


1 个 n 1 个 周 D 上 it A 信息 NRZI 
个 波段 ( 1 个 周期 ) 可 以 包含 2bit 的 人 0 表示 不 变 ，1 表 示 反 转 
| 
0 要 在 连续 0 的 电 平 信号 中 很 难 获取 
其 中 包含 的 时 钟 频 率 
1 TOUOTOTO 

1 个 波段 ( 1 个 周期 ) 可 以 包含 4bit 的 信息 

0 MLT-3 

NRZI 使 用 3 个 数值 传输 


111100001010 
图 1-8 NRZI 编码 


使 用 5 类 UTP ( 最 大 带宽 为 100MHz ) 线 绕 


信号 路 2 
NIC 3 
接收 4 
8 三 个 数值 传输 “上 Peeeee 
6 ~ 
s 不 使 用 这 两 对 绞 线 


1-9 100BASE-TX 的 数据 传输 


01.03.04 1000BASE-I/1000BASE-TX 


在 1000BASE-T 中 使 用 了 8B1Q4 (8 binary to 1 quinary 4， 将 8 个 2 值 数据 转换 成 5 值 4 组 数据 ) 的 编码 
方式 与 4D- PAMS (4-dimensional，5-level Pulse Amplitude Modulation， 将 从 8B1Q4 数据 编码 接收 到 的 4 维 
五 进 制 符号 用 五 个 电压 级 别传 送出 去 ) 的 调制 方式 传输 数据 (如 图 1-10 表示 ) 。8B1Q4 按照 每 组 8bit 对 
传输 数据 进行 分 割 ， 每 组 再 加 上 1bit 的 宛 余 位 作为 错误 校 验 ， 一 共 为 9bit 数据 。 在 9bit 的 数据 中 ， 根 据 
元 余 bit 和 前 两 个 bit 数据 选择 转换 表 ， 再 根据 转 表 得 到 余下 6bit 所 对 应 的 4 个 信号 值 。 信 号 值 可 以 是 
-2、-1、0、+1、+2 这 5 个 值 中 的 任意 一 个 。 例 如 ，10010111 这 个 8bit 的 数据 ， 按 照 8B1Q4 转换 为 
+1、-2、0、-1 这 4 个 信和 号 值 后 ， 就 可 以 同时 在 双 绞 线 上 进行 传输 。 将 这 一 系列 的 数据 调制 发 送 就 被 称 为 
4D-PAM5 方式 ， 因 为 要 使 用 1Gbits 速率 发 送 数据 ， 所 以 每 个 脉冲 的 间隔 为 125MHz (1 个 脉冲 时 间 为 8 
纳 秒 ) 。 两 个 脉冲 为 1 次 谐 波 ， 因 此 可 以 使 用 带宽 在 62.5MHz 之 上 的 UTP 线 缆 来 完成 信号 的 传输 。 


中 按照 每 组 8bit 对 数据 进行 分 割 2) 进行 88104 编 码 
Bbit 8bit gpit gbit 


po 生生 EEC ， .pe em 
[lolollol Jolol Tol illol bo 


-1 添加 用 于 错误 校 验 的 宛 余 位 ， 2-2 宛 余 位 同 第 6bit、7bit 组 合用 于 
每 组 变 为 9bit 选择 转换 表 


LSB MSB 
123456 虽 宛 余 位 


po + 癌 


米 LSB ( Least Significant Bit ) ， 最 低位 bit 
MSB ( Most Significant Bi ) ， 最 高 位 bi 


(2-3 将 第 0~5bit 的 数据 放 入 选择 好 
的 转换 表 检 索 对 应 信号 值 


BO 特 眉 玉 下 
信号 值 转换 为 +1V、+0.5V、 / 
0V、-0.5V、-1V] 的 电 平 信号 ，j 
a 使 用 4 对 双 绞 线 同时 发 送 
+1,+2,—2,+1 

110011 —1.+2,—2,+1 
110100 +1,+2,0,—1 


实际 的 8B1Q4 转换 表 ( 节选 ) 


| em | -am | -om ET | anon 
| ww | am | oa | om | on 


附 图 : 1000BASE-T 网 卡 的 功能 分 区 图 


下 
节 
节 | 


9b 表 示 9bit 数 据 


图 1-10 1000BASAE-T 的 编码 


01.03.05 1000BASE-SX/LX 
1000BASE-SX 与 1000BASE-LX 采用 了 8B10B 的 编码 方式 。 


8B10B 编码 方式 将 发 送 数据 按 每 组 8bit 进行 分 割 ， 并 将 每 组 8bit 的 数据 重新 转换 成 10bit 进行 传输 。 这 人 么 
一 来 ， 不 仅 可 以 发 送 额 外 数据 信息 ， 而 且 无 论 是 什么 样 的 数据 ， 最 多 也 只 会 出 现 5 个 连续 的 “0” 或 者 “1”。 
对 此 在 节省 带宽 的 20% 的 前 提 下 ， 也 可 以 将 数据 与 时 钟 频率 同时 通信 。 


1000BASE-SX/LX 
按照 每 组 8bit 对 数据 进行 分 割 
8bit 8bit 


10bit 10bit 


3) 使 用 采样 频率 为 1.25GHz ( 1G*10/8 ) 进行 发 光 为 “0”、 炸 灭 为 “1” 的 光 信 号 转换 ， 随 后 
通过 光纤 进行 传输 。 

8B10B 变 换 表 的 一 部 分 

| | orem | Crono | 

p00 | ooo oo000 | oo oron | oriooo on | 


ET ET 
[am [mor [rowwiooo0r [orooor | 
pz0 | ovooomro | ovor oron | orooroor" | 


给 每 组 的 8bit 数据 定义 Current RD 一 ( 负 ) 与 Current RD+ ( 正 ) 的 10bit 转换 值 ， 并 采 
用 正 负 交替 进行 传输 。 这 次 发 送 的 是 某 个 RD (Running Disparity ) 信 号 ， 下 次 就 发 送 
相反 的 RD 信号 。RD 在 开启 电源 后 的 初始 值 为 负 。 


图 1-11 1000BASE-SX/LX 的 编码 
使 用 增强 型 5 类 UTP ( 其 中 4 对 进行 发 送 与 接收 ) 线 缆 


2 
3 
4 
5 5EEE 全 
6 
过 
8 


Hybrid 回路 的 功能 : 将 1 对 双 绞 线 上 的 
发 送信 号 与 接收 信号 分 流 


图 1-12 1000BASE-T 的 数据 传输 
在 传输 速率 为 1000Mbit 秒 的 1000BASE-T 中 ，1 对 信和 号 线 能 够 以 250Mbit/ 秒 的 速率 同时 发 送 和 接收 信 


E 


子 ， 并 且 可 以 4 对 信号 线 同时 进行 全 双 工 通信 。 


收发 送信 号 ( 250Mbit/ 秒 ) 
收发 送信 号 ( 250Mbit/ 秒 ) 
收发 送信 号 ( 250Mbit/ 秒 ) 


一 
过 一 一 
一 
过 = 
一 
So— 
收发 送信 号 ( 250Mbit/ 秒 ) 
do— 


1-13” 1000BASE-T 的 发 送 接收 方式 


在 传输 速率 为 1000Mbit 秒 的 1000BASE-TX 中 ，1 对 信和 号 线 能 够 以 500Mbit 秒 的 速率 进行 数据 通信 ，4 
对 信号 线 中 ， 两 对 发 送信 号 ， 两 对 接收 信号 。1000BASE-TX 由 在 降低 1000BASE-T 的 实现 成 本 ， 又 以 
EIA/TIA-854 的 形式 进行 了 标准 化 ， 但 是 与 1000BASE-T 的 普及 相 比 ，1000BASE-TX 对 应 的 设备 很 少 ， 


前 几乎 已 经 停 用 。 因 此 需要 注意 的 一 点 是 ，1000BASE-TX 与 1000BASE-T 无 法 兼容 。 
发 送信 号 ( 500Mbit/ 秒 ) 
ER > 只 > 下 = 
发 送信 号 S: ( DOI ) 
= 
接收 信号 ( 500Mbit/ 秒 ) 
A 
接收 信号 ( 500Mbit/ 秒 ) 
< 


图 1-14 1000BASE-TX 的 发 送 接收 方式 


01.04 网络 设 备 的 构成 要 素 


01.04.01 通用 服务 器 与 专用 设备 
网 络 硬 件 大 致 分 为 通用 服务 器 和 专用 设备 两 大 类 。 
表 1-31 网 络 硬件 的 种 类 


通用 服务 器 | 运行 Windows、Windows Server、Linux、Unix 等 操作 系统 的 通用 服务 器 及 该 服务 器 上 安装 的 网 络 服 务 
专用 设备 于 特定 目的 的 操作 系统 、 软 件 、 硬 件 组 成 的 专用 设 


表 1-32 ”比较 通用 服务 器 与 专用 设备 


专用 设备 的 优点 通用 服务 器 的 缺点 
二 名 必 便 件 相 比 信众 比 全 
~ BE er 2 9 责 女 习 侦 只 芭 直 
2 入 让 提 作 系 让 可 能 会 出 现 没有 对 应 软件 的 情况 
2 。 操 作 系 统 不 同 ， 系 统 漏洞 也 较 多 
通用 服务 器 的 优点 专用 设备 的 缺点 
。 如 果 有 编程 知识 ， 就 能 够 自 定义 功能 。 功 能 扩展 有 所 限制 
。 使 用 免费 的 操作 系统 可 以 降低 成 本 。 无 法 自 定义 
。 很 容易 得 到 系统 漏洞 以 及 BUG 的 信息 。 修复 安全 漏洞 以 及 BUG 的 方法 根据 厂商 的 不 同 而 不 同 


01.04.02 ”分门别类 的 网 络 设备 
网 络 设备 的 分 类 如 表 1-33 所 示 。 
表 1-33 ”网络 设备 的 分 类 


网 络 设备 种 类 参考 章节 
路 由 器 第 3 章 
L2 交换 机 第 2 章 
高 层 路 由 器 第 4 章 
无 限 LAN 的 AP、 无 线 LAN 控制 器 第 6 章 
网 络 安全 设备 第 5 章 
。 防 火 培 第 5 章 
eUTM 第 5 章 02 
e 新 一 代 防 火 墙 第 5 章 04 书 
e 代 理 器 件 第 5 童 04 匀 
seURL 过 滤器 件 第 5 章 04 
。 防 病毒 网 关 第 5 音 04 和 让 
| 负载 均衡 器 第 4 章 01 亨 
服务 器 设备 
e Web 服务 器 设备 
e 文 件 服务 器 设备 
eDHCP、DNS 服务 器 设备 


设备 (appliance) 是 电气 化 产品 的 意思 。 


网 络 设备 和 个 人 计算 机 的 部 件 构成 非常 相似 。 要 说 本 个 人 计算 机 最 六 的 不 ` 同 ， 那 就 是 网 络 设备 没有 对 应 的 
键盘 、 显 示 器 等 输入 输出 装置 。 但 是 网 络 设备 可 以 通过 串口 、 网 口 等 和 个 人 计算 机 设备 相连 ， 从 而 完成 配 
置 管理 等 操作 。 

01.04.03 CPU 

CPU (Central Processing Unit， 中 央 处 理 器 ) 是 构成 PC 等 计算 机 的 主要 部 件 ， 它 通过 读 取 内 存 中 的 程序 
来 控制 软件 的 执行 ， 并 对 数据 进行 运算 。 解 析 程 序 指令 也 称 为 解码 (decode) ， 解 析 指令 完毕 后 ， 就 可 以 
从 内 存 中 读 取 数据 或 者 通过 外 围 设备 完成 输入 输出 了 。 

根据 一 条 指令 能 够 处 理 的 最 大 数据 量 ， 可 以 分 为 16bit CPU、32bitCPU 和 64bitCPU， 越 大 说 明 CPU 
的 性 能 越 高 。CPU 使 用 赫 效 (Hz) 来 表示 时 钟 频率 ， 即 在 1 秒 内 能 够 执行 多 少 条 指令 。 比 如 说 3GHz 就 
表示 在 1 秒 钟 内 CPU 可 以 执行 3*109 次 运算 。 当 同一 时 钟 周 | 时 钟 频率 越 高 ， 
CPU 性 能 越 好 。 

将 两 个 处 理 器 核心 封装 在 一 块 集成 电路 上 称 为 双核 处 理 器 ， ,类 似 地 ， 也 有 将 4 个 核心 封装 在 一 块 CPU 中 
的 。CPU et 性 能 也 越 高 。 这 类 系统 称 为 多 核 系 统 ， 能 在 1 个 CPU 上 同时 执行 多 个 线程 (处 
理 ) 。 在 能 够 高 速 进行 第 7 层 处 理 、 加 密 解密 处 理 网 络 设 了 也 可 以 搭载 多 个 这 种 类 型 的 CPU， 通 过 
增加 整个 系 乡 完 核 的 数量 来 提高 处 理 能 

拥有 多 块 CPU 的 计算 机 或 硬件 称 为 多 处 理 系统 。 在 生产 CPU 的 公司 中 ， 较 为 的 是 Intel 公司 和 AMD 
公司 。 

将 所 有 构成 CPU 的 半导体 部 件 集中 在 一 块 世 片上 的 处 理 器 称 为 MPU (Micro-Processing Unit， 微 处 理 
器 ) ， 也 有 人 用 MPU 来 表示 CPU 。 

01.04.04 ”存储 设备 

在 计算 机 内 用 来 存储 数据 或 程序 的 装置 是 存储 设备 (storage unit) 。 该 类 设备 分 成 高 速 且 高 价 的 主 存储 器 
与 低速 且 低 价 的 辅助 存储 器 〈 外 部 存储 器 ) 两 类 。 主 存储 器 分 成 可 读 写 的 RAM 以 及 只 读 的 ROM， 二 者 
均 使 用 半导体 元 件 实现 。 

辅助 存储 器 有 硬盘 和 闪存 等 。 

在 网 络 硬 件 中 面 类 型 的 交换 机 或 路 由 器 往往 使 用 闪存 来 启动 程序 〈 应 用 程序 ) ， 随 后 从 硬盘 ( 即 闪 
存 ) 上 上 广 取 必要 的 数 据 。 在 程序 中 处 理 的 数据 又 存储 至 比 硬盘 速度 更 快 的 读 写 主 在 中 。 为 了 使 主 存储 器 进 
行 对 应 的 数据 运算 ， 还 需要 将 数据 传送 至 CPU 处 。 


这 时 ， 即 使 采用 了 DRAM 高 速 主 存 ， 其 对 数据 的 读 写 速度 (访问 速度 ) 也 远 远 落 后 于 CPU， 而 受到 存储 
器 性 能 牵连 的 CPU 也 无 法 发 挥 出 原本 的 速度 。 因 此 就 需要 用 速度 更 快 但 容量 更 小 的 Cache 存储 ， 这 种 存 
储 将 需要 CPU 频繁 处 理 的 数据 以 更 快 的 速度 传送 至 CPU， 从 而 大 大 提高 了 程序 的 处 理 速 度 。 

01.04.05 “存储 器 
存储 器 根据 用 途 分 为 了 不 同 的 种 类 。RAM 或 ROM 一 般 作 为 主 存储 设备 ， 用 来 存放 需要 执行 或 处 理 的 程 
序 及 数据 。NVRAM 和 闪存 则 作为 辅助 存储 设备 存放 操作 系统 或 配置 文件 ( 表 1-34) 。 
表 1-34 存储 器 的 种 类 
存储 器 的 种 类 说 明 
RAM Rancom | 随机 存 取 存 储 器 。 在 计算 机 内 部 用 于 保存 处 理 运行 中 的 设置 和 路 由 表 所 需要 的 信息 。 当 关闭 电源 或 重新 启 
3 动 后 ， 将 清空 所 有 数据 *。 一 般 使 用 动态 随机 存储器 (DRAM) 和 同步 动态 随机 存储器 SDRAM) 实现 
ROM (Read 。 | 只 读 存 储 器 。 关 闭 电源 时 保存 的 数据 不 会 丢失 。 一 般 用 来 存放 Bootstrap 注 1、POST 注 2、ROM 监 控 、 
Only Memory) ”|RXBOOT 等 启动 和 维护 网 络 硬件 的 程序 
NVRAM (Non | 由 于 拥有 非 易 失 性 ， 即 使 关闭 电源 或 重新 启动 时 数据 也 不 会 丢失 46 ， 因 此 一 般 用 于 保存 设置 文件 
volatile RAM) 
闪存 具有 电 可 擦 可 编程 特性 的 只 读 存储 器 ， 用 来 保存 操作 系统 以 及 设置 文件 

15 该 存储 器 一 般 教 材 鲜 有 涉及 ， 它 有 ROM 的 断 电 不 丢 数 据 的 特性 ， 也 有 普通 RAM 随机 寻 址 访问 的 特性 。 一 一 译 者 注 

注 1，Boot 是 指 计算 机 在 接 通 电源 后 进入 可 操作 状态 之 前 自动 执行 的 一 系列 处 理 ， 这 些 处 理 程序 统称 为 Boot (Bootstrap) Code 。 
注 2: Power On Self Test 的 缩写 ， 是 指 电源 接 通 后 ， 计 算 机 进行 自我 诊断 的 过 程 。 在 Boot 之 前 检查 ROM 内 的 BootCode， 检 查 闪存 中 保存 的 
操作 系统 ， 还 有 检查 外 围 接口 以 及 ASIC 访问 等 。 当 POST 执行 失败 时 ， 硬 件 的 LED 灯会 闪烁 给 出 错误 提示 。 这 说 明 部 件 或 数据 可 能 损坏 ， 
需要 更 换 新 的 硬件 。 
表 1-35 ”RAM 的 种 类 
名 称 说 明 
DAN 动态 随机 存储 器 。 一 种 通过 电容 中 是 否 有 电荷 来 表示 二 进 制 的 0 和 1， 并 以 此 为 原理 进行 数据 保存 的 RAM。 电 
(Dynamic | 容 保 存 的 电荷 经 过 一 定时 间 后 会 自动 放电 ， 保 存 的 信息 就 会 矢 失 。 因 此 需要 定期 刷新 存储 单元 ， 通 过 再 次 写 
A 入 使 其 保持 原来 的 内 容 。 于 必须 要 进行 必 新 ， 因 此 被 称 为 避 太 的 (dynamic) RAM”。 与 SRAM 相 比 ， 电 路 
较为 简单 ， 集 成 度 高 ， 价 格 也 较为 低廉 
SRAM is | 同步 动态 随机 存储 器 。 使 用 外 部 总 线 接口 ， 在 一 定 周期 内 同步 时 钟 信号 来 运行 的 改进 版 DBRAM。 按 
人 onous | 133~533MHz 的 外 部 总 线 时 钟 频率 进行 同步 运行 。 目 前 使 用 的 DRAM 几 乎 都 是 SDRAM 
SRAM (Static | 静态 随机 存储 器 。SRAM 使 用 了 由 三 极 管 构成 的 触发 器 电路 ， 能 入 无 需 册 新 操作 就 保存 数据 。 于 不 需要 刷 
RAM) 新 操作 ， 因 此 被 称 为 静态 (static) RAM。 虽 然 速度 很 快 ， 但 由 于 电路 很 复杂 ， 集 成 困难 ， 所 以 价格 昂贵 


闪存 
表 1-36 


闪存 的 种 类 


包含 了 EEPROM、Compact Flash 和 USB 存储 等 ( 表 1-36) 。 


Flash 
EEPROM 


说 明 


ee 


( 电 可 擦 


进 版 ， 提 供 了 


写 可 编 
程 ) 


图 片 


Compact 
Flash Card 
(CF 卡 ) 


9 Sandisk 公 司 


PC Card 
适配器 将 CE 
的 50pin 接 口 转 
化 为 PC Card 的 
68pin， 这 样 就 
可 以 插入 PC 
Card 插 槽 使 


CompactFlash" 
100 MB/S， 


Typel 42.8x36.4x3.3mm 
Typell 42.8x36.4x5mm 


到 2012 年 为 止 , 市面 上 可 买 到 容量 为 1228MB~128GB 的 产品 


说 明 


将 USB 接 头 直 
接 封 装 在 存储 
六 品 上 的 存储 
器 。 只 要 硬件 
或 作 系 统 支 
持 USB Mass 
USB 存 储 ”| Storage Class 标 


人 


(Universal | USB 接 [标准 


Serial Bus | 的 


存储 器 ) 


+ 
七 
[3 
湾 
下 
二 


Flash EEPROM 
存储 芯片 


企 该 产品 “| 到 2012 年 为 止 ， 


图 片 


USB3.DO&e 


市 场 主流 的 产品 为 4GB~32GB，256GB 的 产品 也 可 以 买 到 。 


01.04.06 HDD/SSD 


存储 设 


在 个 人 计算 机 中 ， 硬 盘 也 经 常 作为 辅助 
器 ) (图 1-15) 。 硬 盘 通过 驱使 多 块 涂 满 磁性 介质 的 4 
头 ， 从 而 进行 数据 的 读 写 。 硬 盘 接 口 一 般 分 为 ATA 系列 和 SCSI 系列 两 种 。 
前 主流 的 硬 副 尺寸 为 3.5 英寸 、2.5 英寸 和 1.8 英寸 ， 身 寸 数 表示 副 片 的 大 小 。 


在 网 络 设备 中 ， 多 个 不 同 版 本 的 操作 系统 、 与 系统 和 流量 相关 的 日 志 信息 、 扫 描 内 容 时 使 用 的 签名 信息 
(数据 库 ) 、 流 量 缓存 等 一 般 被 保存 在 安装 于 网 络 设 


一 般 而 言 ， 个 人 计算 机 或 服务 器 硬件 若 发 4 


A 


E 了 HDD 故 


来 使 用 


一 般 被 称 为 HDD (Hard Disk Drive， 硬 盘 驱 动 


金属 (或 者 玻璃 ) 盘 片 (platter) 高 速 旋转 、 移 动 磁 


障 ， 可 以 将 HDD 单独 取 下 替换 ， 但 是 在 网 络 设备 


内 部 的 HDD/SSD 中 。 


沾 很 可 能 震 雪 愉 挨 下 个 便 伯 ， 由 于 HDD 中 常常 存放 了 IP 地 址 等 保密 数据 ， 因 此 在 蔡 换 硬 件 时 ， 可 以 委托 


厂商 删 除数 据 ， 并 要 求 / 具 硬 盘 已 破坏 的 证 明 书 。 


驱动 器 
( actuators， 决 定 存储 位 置 的 装置 ) 主轴 马达 


外 部 接口 


图 1-15 ”硬盘 驱动 器 


有 些 网 络 配件 也 会 用 SSD 取代 HDD 作为 数据 存储 的 设备 。SSD 是 Solid State Drive 的 缩写 ， 也 可 以 叫做 
Flash SSD 或 Flash Memory Drive， 使 用 和 HDD 一 样 的 IDE、ATA 外 部 接口 。 


与 HDD 相 比 ，SSD 有 以 下 优点 。 
。 随 机 访问 时 数据 读 取 速度 快 
。 省 电 、 发 热量 小 
。 抗 外 部 冲击 力 强 
。 体 积 轻 便 、 运 行 噪声 小 
。 单 位 容量 价格 高 
。 记 忆 单 元 有 读 写 次 数 的 上 限 


图 1-16 SSD 
01.04.07 ”硬件 芯片 
于 特殊 处 理 的 高 速 集成 电路 3 

FPGA 的 处 理 被 称 为 硬件 处 理 (图 1-17) 
软件 处 理 
CPU 从 内 存 中 读 取 命令 四 
需要 通过 的 总 线 往往 存在 
瓶颈 ， 处 理 数据 非常 耗 竟 
时 间 。 


程序 可 以 非常 简单 地 在 通 
用 机 器 上 生成 和 修改 。 


o 


FE 要 有 ASIC 和 FPGA。 与 CPU 处 至 


HHH 


可 以 自由 组 合 命 令 并 
执行 各 种 各 样 的 处 理 
任务 


重复 大 量 的 命令 读 取 、 
翻译 、 执 行 和 输出 操作 


处 理 前 的 数据 一 一 处 理 后 的 数据 


硬件 处 理 
无 需 经 二 


内 部 高 速 处 理 。 


过 内 存 总 线 ， 可 以 在 ASIC 芯 片 


只 用 于 执行 特定 处 理 的 
专用 芯片 


处 理 前 的 数据 一 一 处 理 后 的 数据 


图 1-17 软件 处 理 与 硬件 处 理 的 不 同 


E 被 称 为 软件 处 理 相对 应 ，ASIC 和 


ASIC 

ASIC (Application Specific Integrated Circuit， 专 用 集成 电路 ) 指 用 了 特定 目的 的 IC 必 片 ， 是 能 够 高 速 进 
行 以 太 网 帧 格式 的 传送 处 理 、 路 由 处 理 、 防 火 墙 处 理 等 特殊 处 理 的 集成 电路 。 

与 CPU 相同 ，ASIC 也 是 LSI Uae Scale Integration， 大 规模 集成 电路 ) 的 一 种 。 但 与 CPU 逐条 执行 命 
令 相 比 ，ASIC 的 设计 则 是 仅 用 于 高 速 进行 必要 的 处 理 。 

ASIC 由 于 心 片 单 价 便宜 ， 因 此 在 大 规模 生产 时 成 本 很 低 ， 同 时 具有 高 速 、 高 集成 度 、 最 合理 的 电力 使 用 
等 优点。 但 另 一 方面 ， 开 发 成 本 高 、 开 发 周期 长 、 无 法 及 时 应 对 设计 失误 或 式样 变化 等 也 是 其 不 可 忽视 的 


缺点 。 


FPGA 


和 ASIC 一 样 ， 用 于 特定 目 


场 可 编程 门 阵 列 ) 


使 


的 的 高 速 运行 集 成 电路 ， 但 : 
j 了 一 种 被 称 为 HDL (Hardware Description Language， 硬 件 描述 语言 ) 的 编程 语言 


j5 ASIC 不 同 的 地 方 在 于 


F 它 的 可 编程 性 


。FPGA ( 现 


来 描述 电路 和 系统 的 运行 。 
与 ASIC 相 比 ，FPGA 因为 其 可 编程 性 而 具 发 风险 小 、 开 发 周期 短 和 开发 成 本 低 等 优点 。 虽 然 FPGA 
有 单价 高 “性 能 莽 、 切 耗 高 的 缺点 ， 但 是 目前 这 些 方面 已 经 有 所 改善 ， 所 以 在 网 络 设备 中 新 开发 的 硬件 
芯片 几乎 都 使 用 了 FPGA。 
网 络 处 理 器 


网 络 处 理 器 是 使 用 LSI 技术 将 CPU 和 分 组 处 理 硬件 集成 于 一 处 ， 用 于 网 络 相关 处 理 的 专用 处 理 器 (图 1- 
18) ， 也 可 以 用 NP 或 者 NPU (Network Processing Unit) 来 


Cr 


vy 
4 
对 


| 


控制 平面 转发 平面 


连接 
外 部 接口 


连接 DRAM 


连接 PHY ! 
UART: Universal Asynchronous Receiver Transmitter 
PCl: Peripheral Component Interconnect 
DRAM: Dynamic Random Access Memory 
PHY: Physical Layer Controller 
MAC: Media Access Control 


图 1-18 网络 处 理 器 的 结构 图 


在 ASIC 中 无 法 根据 需求 灵活 更 改 处 理 的 内 容 ， 但 在 网 络 处 理 器 中 却 可 以 进行 编程 。 分 组 首部 的 解析 、 路 
径 决 定 表 的 检索 、 QoS 控制 、 加 密 解密 等 内 容 单一 但 负载 较 大 的 处 理由 引擎 硬件 〈 分 组 处 理 引擎 、 协 议 引 
敬 、 微 引擎 等 ) 负责 。 而 对 于 硬件 无 法 处 理 的 复杂 情况 ， 则 将 其 交 给 网 络 处 理 器 内 部 的 CPU 完成 。 


图 1-19 EZchip 公司 的 网 络 处 理 器 


01.04.08 ”接口 
一 种 是 用 于 管理 设置 的 控制 端口 ， 另 一 种 是 用 于 传输 用 户 数据 流量 的 数据 端口 (多 
| 


o 


图 1-20 展示 了 台式 计算 机 上 搭载 的 以 太 网 接口 卡 ， 也 称 为 网 络 适配器 、LAN 卡 或 者 网 络 接口 卡 (NIC,， 
Network Interface Card) 。 尽 管 母 板 及 配 线 有 所 不 同 ， 但 网 络 硬件 所 使 用 的 以 太 网 端口 ， 基 本 上 也 由 类 似 
的 部 件 组 合 而 成 。 图 1-20 GD) 所 表示 的 控制 芯片 就 是 将 会 在 第 2 章 中 详细 介绍 的 网 络 控制 器 〈 缩 写 也 是 
NIC，Network Interface Controller) ， 目 前 网 络 控制 器 多 用 NIC 来 表示 。 


~ 


图 1-20 100BASE-TX PCI 以 太 网 卡 的 示例 


@ 以 大 网 控制 器 :负责 处 理 以 太 网 帧 格式 、 收 发 接口 处 信号 、 完 成 数据 从 总 线 到 CPU 的 
MAC 处 理 两 块 单元 集成 在 一 个 分 组 中 。 
@ PIC 总 线 连接 头 : 连接 与 CPU 的 通信 线路 。 

日 以 太 网 接口 连接 头 ， 使 用 RJ-45 以 太 网 线 缆 进 行 连接 。 
@ LED 指示 器 : 显示 以 太 网 的 工作 状态 。 


控制 端口 


汕 
下 


P 继 等 。 将 物理 层 的 PHY 处 理 与 数据 链 路 


对 网 络 硬件 的 初始 设置 、 管 理 、 调 试 等 需要 通过 专用 的 端口 来 完成 ， 这 类 端口 就 叫做 控制 端口 (console 
port) 或 串 行 端口 (serial port) 。 控 制 端口 一 般 使 用 DB-9 (RS-232) 、RJ-45、RJ-48 标准 ( 表 1-37) 。 

于 管理 的 个 人 计算 机 使 用 线 缆 通 过 DB-9 串口 或 者 USB 接口 连接 到 网 络 硬件 ， 通 过 Hyper 超级 终端 或 
TeraTerm 这 类 终端 软件 与 硬件 进行 交互 连接 。 
个 人 计算 机 与 网 络 硬件 连接 的 线 缆 叫 做 控制 线 缆 (图 1-38) 。 根 据 硬件 的 不 同 控制 端口 pin 的 分 配 也 有 所 
羽 此 需要 先 选 择 使 用 直 连 线 缆 还 是 交叉 线 缆 ， 然 后 使 用 转换 器 进行 转换 ， 并 对 应 正确 的 极 性 来 进行 
连接 。 
有 的 低 端 路 由 器 或 交换 机 不 提供 控制 端口 ， 而 是 将 192.168.1.1 这 种 私有 IP 地 址 设 定 为 以 太 网 接口 的 初始 
值 ， 然 后 通过 以 太 网 的 WebUI 进行 初始 设置 。 
表 1-37 控制 端口 

名 称 pin 设 置 图 pin 设 置 说 明 


也 称 为 D-sub9。 采 
EIA-547 标 准 。 


事 

1 DCD 
(Carrierdetect) 

> |RxD (Receive 
data) 
TxD (Transmit 

3 
data) 

4 DTR (Data 
terminal ready) 
GND (Protective 
ground) 

RTS (Requestto 
send) 
DSR (Data set 

6 
ready) 

CTS (Clearto 

8 
send) 

RI (Ring 

9 
indicator) 

RJ-45 用 计算 机 专用 的 8P8C 

《8 极 8 世 ) 线 缆 与 插 
及 用 TIA/EIA-568-B 

标准 (RJ-45 原 先 采 

8P2C 的 FCC 标 准 ， 二 者 

之 间 没 有 互 换 性 ) 

别 他 
CTS (Clearto 

加 
send) 
DSR (Data set 

2 
ready) 

GND 

3 (Protective 
ground) 

DCD (Carrier 

4 
detect) 

5 |RxD (Receive 


data) 
12345678 mo 
6 (Transmit 
data) 
DTR (Data 
7 |terminal 
ready) 
8 RTS (Request 
to send) 
表 1-38 ”控制 线 缆 
线 缆 说 明 
RJ-45/DB-9 (了 母 头 ) 线 缆 
连接 个 人 计算 机 的 RS-232 
DB-9 ( 公 头 ) 接口 和 网 络 硬 
件 的 RJ-45 控 制 接 


连接 个 人 计算 机 的 RS-232 


NS 
DB-9 ( 公 头 ) 接口 和 网 络 硬 
ee 公关 
天 0 母 = 时 、 
> D 
es 
e 


: 丽 女 
可 以 配备 迷你 转 接 


线 缆 说 明 


RJ-45/DB-9 〈 母 头 ) 转 接 


在 将 RJ-45/RJ- 45 线 缆 1 为 控 
制 线 缆 使 用 时 ， 进 行 与 个 人 
计算 机 RS-232 DB-9 接 口 的 
中 继 连 接 。 使 用 时 需要 注意 
存在 直 连 口 和 交叉 口 两 种 


DB-9 母 头 / 母 头 迷你 转 接 
DB-9 公 头 / 公 头 你 转 接 
DB-9 公 头 / 母 头 迷 你 转 接 


人 


2 


4 2 
Ds 被 称 为 Mini gender changer, 
eo 能 够 变换 搂 口 公 母 头 的 转 


由 


USB 串 口 转 接 


没有 DB-9 接 口 但 有 USB 接 
的 个 人 计算 机 可 以 使 用 该 转 
SS 接口 进行 控制 连接 


RJ-45 连接 控制 端口 


网 络 设备 的 控制 端口 和 个 人 计算 机 的 连接 可 以 使 用 DB-9/DB-9 线 缆 或 USB 串口 转 接 口 来 进行 ， 但 如 果 控 
制 端口 是 RJ-45 时 ， 则 需要 使 用 RJ-45/DB-9 转 接 口 (如 图 1-21 所 示 ) 。 该 转 接口 内 部 有 直 连 和 交叉 连接 
两 种 方式 ， 所 以 需要 注意 在 连接 除 网 络 设备 以 外 的 设备 时 ， 不 要 弄 错 接口 的 极 性 。 


过 至 网 络 设 4\ EE RJ-45 


备 的 RJ-45 控 = 
制 端口 Fs DB-9 < CC 咱 
连接 至 个 人 计算 机 的 Us6 端 0 ”ES 
1-21 通过 RJ-45/DB-9 转 接口 连接 个 人 计算 机 


DB9 ( 公 头 ) 
1 5 
i 
Oooo 
87654321 6 9 

pin RJ-45 连 接头 pin ( 公 头 ) 连接 头 


图 1-22 RJ-45/DB-9 ( 公 头 ) 转 接 口 : 直接 连 线 


DB9 ( 母 头 ) 
jo CE 


87654321 9 6 
pin RJ-45 连 接头 pin ( 母 头 ) 连接 头 


图 1-23 RJ-45/DB-9 ( 母 头 ) 转 接 口 : 交叉 连 线 


全 反 线 缆 
思科 系统 公司 (以 下 简称 为 思科 公司 ) 生产 的 路 由 器 所 使 用 的 控制 线 缆 叫 做 全 反 线 缆 (rollover cable) 。 
全 反 线 缆 采 用 双 头 端口 连接 管理 口 ， 其 中 一 头 连接 RJ-45/DB- 


9 


图 1-24 两头 都 是 RJ-45 端口 的 全 反 线 缆 ， 其 中 一 头 连接 RJ-45/DB-9 转 接口 


图 1-25 一 头 为 RJ-45， 另 一 头 为 DB-9 的 全 反 线 缆 

数据 端口 

由 于 以 太 网 的 广泛 普及 ， 目 前 路 由 器 、 交 换 机 、 防 火 墙 以 及 其 他 的 有 线 连接 设备 均 配 有 RJ-45 的 以 太 网 接 
口 。 


。 板 载 端口 

初始 安装 于 硬件 主体 内 部 的 接口 ， 无 法 拆卸 。 

接口 模块 

作为 可 选 模块 安装 在 硬件 主体 内 ， 可 以 拆卸 。 在 CLI 设备 统计 信息 中 显示 和 网 络 拓扑 图 中 记录 的 接口 
标签 几乎 都 采用 了 “接口 类 别 + 模块 号 /接口 号 ”的 形式 。 例 如 ， 某 设备 有 两 个 板 载 的 快速 以 太 网 接 
口 ， 可 以 表示 为 Fa0/1 和 Fa0/2， 其 中 0 表示 模块 号 。 如 果 是 在 第 2 个 接口 模块 上 的 第 3 个 接口 则 表 
示 为 Fa2/3。 接 口 标签 中 的 接口 种 类 如 下 表 所 示 。 


表 1-39 ”接口 标签 中 的 接口 种 类 (以 1 号 模块 上 的 1 号 接口 为 例 ) 


接口 种 类 接口 标签 示例 
10Mbit/s 以 太 网 Eth1/1 ~ el/1 
快速 以 太 网 Fal/1、el1、Eth1/1 
千 兆 以 太 网 Gil/1、Gigl/1、ge-U1、el1、Ethl/1 
万 兆 以 太 网 Tel/l ~ xe-1/1 ~ el/1 、 Eth1/1 


。 接 口 线 卡 


在 机 框 式 路 由 器 和 交换 机 中 ， 提 供 了 一 种 名 为 线 卡 (line card) 的 接口 卡 。 在 线 卡 内 部 可 以 插入 多 个 
接口 模块 ， 这 时 的 接口 标签 一 般 采用 “ 线 卡 号 / 模块 号 /接口 号 ”的 形式 。 例 如 ， 揪 入 1 号 线 卡 的 第 二 
个 接口 模块 上 的 第 3 个 万 兆 以 太 网 接口 的 接口 标签 是 用 Gil/2/3 来 表示 。 


板 载 快速 以 太 网 端口 接口 模块 插口 


图 1-26 网 络 设 备 上 的 各 种 接口 


图 1-29 ”接口 线 卡 内 插入 接口 模块 的 示例 


01.04.09 ”信号 转换 器 


在 以 太 网 使 用 Gbit/s 以 上 的 速率 进行 通信 时 ， 有 时 会 在 路 由 器 和 交换 机 的 接口 上 安装 信号 转换 器 。 路 由 
器 、 交 换 机 总 会 配备 几 个 RJ-45 接口 来 连接 UTP， 但 这 也 仅 限 于 使 用 10/100BASE-TX 和 
10/100/1000BASE-TX 标准 时 的 情况 。 


千 兆 以 太 网 和 万 兆 以 太 网 有 1000BASE-SX、1000BASE-LX、10GBASE-ER 等 使 用 光纤 作为 物理 传输 媒介 
而 


的 标准 ， 不 同 


标准 所 使 用 的 波长 和 输出 功率 也 有 差异 。 路 由 器 、 交 换 机 一 般 都 不 配备 专用 的 光纤 接口 ， 


台 设 备 会 配 
个 1000BASE- 


在 设备 的 信 


是 提供 自身 所 对 应 的 信号 转换 器 的 接 
多 个 转换 器 接口 。 以 一 全 拥有 4 个 SPF 二 


LX 组 成 ， 


号 转换 器 接口 上 i 
双 绞 线 ) ， 这 样 就 连接 上 了 线 缆 。 


言 号 转换 器 一 般 由 设备 制造 商 提供 可 选 产品 ， 买 家 也 可 以 绕 


由 于 后 者 的 渠 
一 点 需要 注意 。 


道 可 能 不 正规 ， 购 买 产品 后 买 家 未 必 会 得 到 设 


不 同 标准 的 信号 转换 器 能 够 台 


日 合 


， 这 样 就 可 以 根据 实际 环境 灵活 地 对 标准 进行 适当 的 调整 。 一 般 一 
榜 口 的 交换 机 为 例 ， 通 常 由 两 个 1000BASE-SX 和 两 


合 使 有 


有 。 


插入 需要 使 用 的 物理 标准 转换 器 ， 随 后 在 信号 转换 器 转换 接口 上 插入 光纤 (或 


二 设 备 商 直 接 从 网 店 购买 相同 规格 的 产品 。 


六 


支持 或 保修 服务 ， 


制造 商 提 供 的 设备 兼 


图 1-30 ”将 信号 转换 器 入 设备 机 身上 的 信 转 换 器 接口 〈@) 信号 转换 器 的 另 一 头 插入 光纤 连接 头 〈G@D) 


在 表 1-40 内 列举 了 信和 号 


转换 器 的 种 类 。 


表 1-40 信和 号 转换 器 的 种 类 


名 称 


说 明 


图 片 


GBIC 
(Gigabit 

Interface 

Converter) 


千 兆 以 太 网 


六 
注 


1000BASE-T 


如 1000BASE- 1000BASE-SX/LX 

SX 、 1000BASE- LX 、 1000BASE-T 
。 使 用 SC 接头 作为 光 接 口 ， 支 持 

Hot Swap 〈 热 插 拔 ) 

100(D)x30(W) x13(H) 


名 称 说 明 图 片 


于 1998 年 完成 标准 化 ， 也 称 为 mini- 
SFP (Small |GBIC。 大 小 约 为 GIBC 的 V3， 和 集成 
Form-Factor | 度 很 高 。 一 般 为 SONET、 千 兆 以 太 
Pluggable) 网 专用 ( 表 1-41) ， 使 用 LC 接头 
(W)13.4x(D)56.5x(H)8.5mm 


Ds 


2001 年 出 现 的 万 兆 以 太 网 信号 转换 
XENPAK 器 。 支 持 Hot Swap， 使 用 SC 接头 


XFP (10 2002 年 制定 的 、 用 于 万 兆 以 太 网 的 
Gigabit Small | 转换 器 ， 对 应 10GBASE-SR、 
Form Factor |10GBASE-LR、10GBASE-EW 标 准 
Pluggable) 等 ， 使 用 SC 接头 


名 称 


说 明 


图 片 


SFP+ (Small | 2006 年 制定 ， 用 于 万 兆 以 太 网 的 信 


Form-Factor 3 


Pluggable | 和 XFP 相 比 ， 有 体积 小 、 集 成 度 


转换 器 ( 表 1-42) 。 与 XENPAK 


plus) 局 


` 省 电 等 优点 ， 使 用 LC 接 y 


表 1-41 SFP (1Gbit/s) 种 类 


> 


1000BASE-SX 


1000BASE-LX 


1310nm 


SMF 


核心 尺寸 


模式 带宽 传输 距离 


160MHz/km 


200 
400 


1000BASE-BX ( 下 行 BX-D 与 上 行 BX-U 两 对 ) 


1000BASE-BX-D 
1000BASE-BX-U 


1310nm 
1490nm 


10km 


1000BASE-ZD 


1550nm 


40km 


1000BASE-ZX 


1550nm 


70~80km 


1000BASE-EX 


主 1: 160MHz/km 是 指 在 1km 以 内 使 


1550nm 


160MHz 带宽 传输 信号 ， 


表 1-42 SFP+ (10Gbit/s) 的 种 类 


在 2km 内 则 使 


80MHz 7 


省 宽 传 输 信 号 。 


120km 


SFP+ 种 类 波长 光纤 种 类 核心 尺寸 模式 带宽 传输 距离 

62.5hm 160MHz/km 26m 

62.5 200 33 
10GBASE-SR 850nm MMF 50 400 66 

50 500 82 

50 2000 300 
10GBASE-LR 1310nm SMF 标准 9.2 N/A 10km 
10GBASE-CX N/A Twinax 线 缆 注 1 N/A N/A 1~5m 


和 证 1: Twinax 线 缆 是 使 


两 种 金属 材料 将 双 绞 线 进 


DI 


了 屏蔽 后 的 线 线 。 


—~、 


CONDUCTORS ( 导线 ) BLUE ( 蓝 ) 
ELECTRIC ( 绝缘 材料 ) 


WHITE OR NATURAL 
( 白色 或 本 色 ) 


( 编制 屏蔽 物 ) 


TWINAX 


FILLERS LBRAIDN OUTER JACKET ( 外 部 包 衰 层 ) 
( 填充 物 ) 


01.04.10 ”LED 指示 灯 


安装 于 网 络 设备 正面 的 LED 指示 灯 ， 能 够 使 用 户 对 设 
fi 会 在 机 身 外 部 的 菜 个 地 方 集 中 放 匣 多 个 LED 指示 灯 ， 但 也 有 的 设备 是 在 物理 接 


表 1-43 LED 指示 灯 的 种 类 


的 系统 运行 状态 和 接口 


状态 一 目 了 然 。 大 部 


分 设 


处 放置 LED 指示 灯 。 


指示 灯 


说 明 


甩 源 LED 电源 接 通 时 指示 灯亮 ， 电 源 断 


时 指示 灯 熄 灭 


系统 LED 系统 运行 正常 时 指示 灯 显 示 绿 色 ， 


当 有 错误 发 生 时 变 为 红色 


LINK/ACT LED (接口 LED) 来 表示 接口 是 否 连通 ， 是 否 


有 数据 在 该 接 


处 传输 。 一 般 每 一 个 接口 上 都 会 有 该 指示 类 


Lisco SYSTENS 


Osysr 
ORps 
人 >WMASTF 
<>sTAT 
> DUPLX 
OspEED 
Os K 


MODE (可 


ORGIGIOIGIOLOIG 


Stack LED 


MODE BUTTON 5 STATUS LED 


MASTER LED 


01.04.11 ”操作 系统 (内核) 
一 般 网 络 设 备 中 安装 和 使 用 的 操作 系统 都 是 采 


SPEED LED 
4 | DUPLEX LED 四 SYSTEM LED 


图 131 以 思科 公司 的 Catalyst 3750 为 例 (资料 来 源 于 产品 的 安装 手册 ) 


类 似 Unix 这 下 


中 比较 有 名 的 操作 系统 有 恩 


基于 开源 的 FreeBSD 和 Linux 定制 的 系统 。 网 络 设 


Juniper Networks 公司 的 JUNOS 。 
表 1-44 每 个 产品 对 应 操作 系统 的 名 称 


RPS LED 


厂商 独自 研发 的 实时 操作 系统 内 核 ， 


LI 科 公 司 的 IOS 以 及 


pp 
BX 
一 


区 征 


厂商 /产品 名 称 操作 系统 名 称 
Cisco 路 由 器 IOS (Internetwork Operation Systemy) 
Cisco Catalyst 交 换 机 CatOS (Catalyst 操 作 系 统 ) 
Cisco Nexus 交 换 机 NX-OS 
Juniper 路 由 器 、 交 换 机 、 防 火 墙 (SRX) JUN 操 作 系统 (Juniper 操作 系统 ) 
Juniper 防 火 墙 (SSG) ScreenOS 
Fortinet FortiGate FortiOS 
F5 Networks Big-IP/Firepass 等 TMOS (Traffic Management Operating System) 
Palo Alto Networks 防 火 墙 PANOS 


01.04.12 ”电源 


网 络 硬 件 使 用 的 电源 (Power Supply) 有 AC 电源 和 DC 
Current) ，DC 是 直流 电源 (Direct Current) 。 


源 两 类 ， 其 中 AC 是 交流 电源 (Alternative 


[出 


家 庭 或 普通 企业 使 用 的 几乎 都 是 AC 电源 ， 大 型 数据 中 心 和 通信 基础 设施 公司 中 的 大 型 设备 有 时 会 使 用 
DC 电源 ( 表 1-45) 。 


AC 电源 分 为 内 部 电源 和 通过 外 接 AC 电源 适配器 的 外 部 供电 两 类 。 中 型 规模 以 上 的 网 络 硬件 一 般 会 内 置 
电源 模块 (power module) ， 小 型 设备 则 多 使 用 AC 电源 适配器 。 


电力 公司 提供 的 电力 可 以 分 为 民用 ( 单 相 ) 与 工业 用 (三 相 ) 两 类 ， 但 几乎 所 有 的 网 络 设备 运行 使 用 单 相 
的 电源 和 参数 。 一 部 分 大 型 路 由 器 也 会 使 用 三 相交 流 电 ， 但 需要 配备 相关 设备 。 下 面 就 以 AC 单 相交 流 电 
源 为 主 进行 介绍 。 
表 1-45 ”电源 的 种 类 
电源 的 种 类 用 途 
电源 内 置 型 ( 单 相 ) 机 架 式 网 络 设备 
AC 电 源 电源 内 置 型 (三 相 ) 超大 型 路 由 器 (CRS-1、T1600 等 ) 的 可 选 电 源 
外 部 电源 型 ( 单 相 100V 的 AC 电 源 适 配器 ) 面 小 型 网 络 设 
DC 电源 大 型 网 络 设 备 的 可 选 电 源 


电源 规格 


在 对 数据 中 心 和 办 公 室 服务 器 机 房 的 电源 进行 设计 时 ， 还 必须 要 确认 网 络 硬件 所 需 电源 的 规格 。 在 表 1-46 
中 列 出 了 一 些 主要 电源 规格 参数 。 


表 1-46 主要 的 电源 规格 


参数 说 明 参考 值 


参数 说 明 参考 值 
AC 输 入 电压 “| 即 AC 小 在 规格 范 轩 内 输入 的 标准 电 本 一 般 使 用 100V 单 相交 流 电 作为 
(AC input 输入 电压 ， 不 过 世界 范围 内 使 的 电压 几乎 都 在 100~240V 之 间 。 该 参数 单位 | 100~240VAC 
voltage) 为 VAC (交流 伏 等 ) 
AC 输 入 频率 训 0 让 人 > 、 
AC 电 源 对 应 的 、 输 入 交流 电 的 频率 ， 参 数 单位 为 赫兹 (Hz) 。 以 日 本 为 例 ， 
(AC input 东 日 本 是 50Hz， 西 日 本 是 60Hz 47~63Hz 
frequency) 
AC 生 人 电流 | 即 流入 AC 电 源 的 电流 数值 ， 通 过 “消费 电能 > (输入 电压 x 功 率 x 转 化 率 ) "的 |3A (110V) 
re " 公式 计算 而 得 。 参 数 单位 为 安培 (A) ， 该 单位 会 根据 输入 电压 的 不 同 而 变化 | 2A (230V) 
DC 输入 电压 Rs 3 
(DC input 。 | DC 电源 对 应 的 输入 电压 。 单 位 为 VDC (直流 伏特 ) a 
voltage) 
DC 输入 电流 、 晤 
(DC input 。 | 流入 DC 电源 的 电流 值 。 通 过 “消费 电能 :输入 电压 * 的 公式 计算 而 得 人 
current) 
i 品 运行 所 消耗 的 电能 。 有 时 会 用 最 大 消耗 电能 、 平 均 消耗 电能 的 表示 进行 | 52W_ 叶 77BTU/hr) 
(power | 并 运行 所 es 昌 A 2 a | NR *BTU 是 British Thermal Unit 的 
consumption) 区 分 。 单 位 为 瓦特 (W) 或 半 热 量 每 小 时 《BTUAr) 缩写 ， 属 于 英制 热量 单位 
发 热量 heat | 产品 (电源 ) 发 热 的 统计 量 。 网 络 硬件 党 使 用 的 单位 时 然 是 BTUr ( 英 当量 |525BTUhr 
dissipation) 每 小 时 ) ， 但 是 也 可 以 用 kcalhr ( 千 卡 每 小 时 ) 或 KJ/hr ( 千 焦 每 小 时 ) 
3 输出 电力 与 有 效 输入 电力 的 比值 。 效 率 = 输 出 电力 = 有效 输入 电力 x100% 85% 
efficiency) 
功率 因子 Ee ape | 使 用 高 功率 因子 电路 可 以 使 该 
(power 0 系 和 视 在 功率 的 比值 。 功 率 因子 越 高 ， 说 明 交 流 电 转化 为 直流 电 的 效 信 达 到 0.95 以 上 ， 一 般 在 
factor) I 0.6~0.7 之 间 。 
瞬间 起 峰 电 流 
(Inrush 在 电源 接 通 输入 电压 的 瞬间 产生 的 电流 的 峰值 115V 时 为 30A 
current) 
尘 电 流 (leak | 在 原本 不 会 有 电流 流通 的 电路 上 出 现 的 电流 。 一 般 在 集成 电路 中 发 生 AC264V 时 在 0.25mA 以 下 
元 余 电 源 
高 端 网 络 硬件 的 电源 模块 一 般 会 配备 至 少 两 个 电源 模块 作为 元 余 电源 Redundant Power Supply) 方案 。 
元 余 电源 的 好 处 在 于 当 一 个 电源 无 法 供电 时 ， 另 一 个 电源 能 够 迅速 接手 其 工作 ， 保 证 硬件 继续 运行 。: 
无 法 供电 的 原因 有 电源 模块 本 身 故障 、 电 源 线 缆 断 开 、 停 电 ， 等 等 


WA 


图 1-33 ”Cisco Catalyst 6500 电源 (一 个 机 框 内 搭载 多 个 电源 模块 的 类 型 ) 


电源 容量 


设备 所 需 的 电源 容量 根据 设备 大 小 的 不 同 而 不 同 。 一 般 来 说 ， 使 用 AC 电源 适配器 的 台式 计算 机 的 设备 ， 

电源 容量 和 笔记 本 电脑 的 差不多 (从 几 十 瓦 到 100 瓦 之 间 不 等 ) ， 中 型 路 由 器 及 交换 机 的 电源 容量 和 人 台 
(从 几 百 瓦 到 500 瓦 不 等 ) ， 高 端 产品 一 般 为 500 瓦 至 数 千瓦 ， 需 要 配备 同 空调 、 电 磁 炉 等 
类 似 源 容量 。 


电源 容量 示例 
Cisco 1812J 路 由 器 : 80W AC 电 源 适 配器 
Cisco 7200 系 列 : 最 大 370W 的 AC 电 源 或 DC 电源 


Juniper T640: 最 大 6400W 的 AC 电 源 


电源 容量 即 设备 (包括 机 框 ) 配备 的 电源 模块 能 够 提供 的 最 大 功率 ， 需要 与 之 区 别 的 是 设备 参数 录 中 另 
一 项 称 为 “最 大 耗 电量 ”的 参数 ， 该 参数 表示 设备 运行 时 实际 需要 消耗 的 电能 。 它 们 之 间 的 关系 是 “电源 容 
量 > 最 大 耗 电 量 *。 设 备 一 般 在 启动 时 和 CPU 满 负 载 处 理 时 最 为 耗 电 ， 而 设 普通 状态 下 运行 所 消耗 的 
电能 在 一 些 设备 的 产品 规格 目录 中 则 使 用 了 “平均 耗 电量 ”一 词 来 表示 。 


电源 容量 以 及 耗 电量 的 单 为 W (瓦特 ) ， 不 过 也 可 以 用 发 热量 的 单位 BTU/hr (British Thermal Unit per 
Hour， 英 热量 单位 /时 间 ) 来 表示 。 


必 Q 


1 属于 英制 度量 衡 。 目 前 我 国 使 用 的 国际 标准 度量 衡 是 基于 1875 年 法 国 率 头 指定 的 米 制度 量 。 英 制度 量 衡 历史 您 入， 在 英语 国家 较为 流 
行 ， 目 前 仍 在 大 量 使 用 ， 如 品 脱 、 英 寸 等 。 但 由 于 其 进位 换算 过 于 复杂 ， 在 世界 范围 内 还 是 米 制度 量 衡 的 使 用 更 为 广泛 。 一 一 译 者 注 


1 BTU/hr=0.293W 


1 W=3.60 KJ/hr=3.412 BTU/hr 

如 果 使 用 UPS (后 文中 会 提 到 ) ， 则 需要 计算 出 消耗 VA ( 伏 安 ) 值 ， 然 后 以 此 作为 选择 UPS 规格 的 依 
据 。 这 时 需要 使 用 到 下 面 的 公式 。 
消耗 VA= 消耗 电能 (W) = 功率 因子 
功率 因子 是 有 功 功率 和 视 在 功率 的 比值 ， 根 据 不 同 的 电路 类 型 数值 也 会 不 同 ， 但 一 般 在 0.6~0.9 之 间 。 


4 日 


消耗 VA 的 单位 是 VA ( 伏 安 ) ， 通 过 “电流 (A) x 电压 (V) ”的 公式 计算 而 得 。 


AC 电源 适配器 


由 于 网 络 设备 是 面向 全 世界 销售 的 ， 因 此 AC 电源 适配器 主体 基本 都 是 全 世界 通用 的 ， 只 不 过 组 合 使 用 的 
AC 线 缆 可 能 会 根据 国家 的 不 同 而 异 。 日 本 从 2006 年 开始 规定 所 有 电气 商品 都 需要 满足 电器 用 品 安全 法 
的 安全 标准 、 获 得 PSE 认证 标志 ， 没 有 了 PSE 标记 的 电源 适配器 无 法 在 日 本 市 场 上 销售 ， 因 此 从 海外 进口 


的 产品 也 需要 完成 PSE 的 认证 才能 开始 销售 。 


[1 AC 电 源 适配器 主体 DC 插头 
铁 氧 体 磁 芯 
AC 线 缆 DC 线 缆 
图 1-34 AC 电源 适配器 


电源 的 安全 标准 


使 用 网 络 硬 件 这 类 电气 设备 或 产品 时 ， 需 要 有 和 针对 性 地 对 火灾 隐患 制定 安全 防范 标准 ( 表 1-47) 。 安 全 标 
准 一 般 由 国家 或 国际 组 织 制定 ， 销 售 的 产品 有 义务 取得 安全 标准 的 认证 。 在 世界 各 国 使 用 的 网 络 硬件 
电源 模块 以 及 AC 电源 适配器 部 件 需 要 符合 各 国 认可 的 安全 标准 。 


FE A .CEO 


图 1-35 ”认证 标志 示例 : Juniper SSG-5 

表 1-47 主要 安全 标准 

安全 标 gs 
淮 说 明 


《 电气 《电气 用 品 管理 法 》 修 订 而 成 ，2001 


品 安 | 年 开始 实施 。PSE 是 Product Safety 
全 法 》 |Electrical Appliance&Material 的 缩写 ， 
(PSE) | 般 用 PSE 法 代 指 电器 用 品 安全 法 。 
电气 用 品 分 为 “特殊 电气 用 品 * 和 “ 非 0 
0 局 v 


受审 查 灿 关 的 适应 性 检测 ， 并 保管 好 认 
证 书 。 另 外 ， 某 些 特殊 用 品 还 必须 有 
PSE 认 证 标志 ， 没 有 该 标志 的 名 村 目 


省 售 前 ， 也 必须 接受 认证 机 构 对 属于 “ 特 | 特殊 电 
殊 电气 用 品 "的 电源 序列 和 AC 电 源 适 配 


用 品 的 PSE 标 志 


ll 


器 了 进行 的 检测 ， 获 得 BSE 认 证 后 方 可 


非特 殊 电 气 用 品 的 PSE 标 志 


UL 是 Underwriters Laboratories Inc. 的 缩 
写 {17[ 在 华 机 构 为 UL 美 华 认 证 有 限 公 
司 。 一 一 译 者 注 ]}。 该 机 构 是 1894 年 美 
于 火灾 1 保险 业 联 盟 设立 的 非 营 利 性 测试 
机 构 ， 是 美国 18 所 国家 认证 实验 室 
(NRTL, National Recognized Testing 
Laboratory) 之 -， 能 够 进行 所 有 电气 j 
品 的 认证 测试 。 虽 然 UL 认证 不 是 强制 
的 ， 但 以 通信 设备 为 主 ， 众 多 美国 本 土 
电气 产品 均 获 得 了 UL 认证 


UL 


UL 认证 标志 示例 


FCC 是 Federal Communications 
Commission (联邦 通信 委员 会 ) 的 缩 
写 ， 成 立 于 1934 年 ， 是 美国 联邦 政府 管 


FCC 


通过 FCC 的 认 证 后 才能 在 美 


FCC 认 证 标志 


Canadian Standard Association 的 缩写 ， 是 加 拿 大 对 于 电气 产品 的 安全 认证 。 在 加 拿 大 国内 销售 的 电气 产品 均 需 通过 
该 安全 认证 才能 得 到 销售 许可 。 在 UL 接受 安全 认证 的 加 拿 大 产品 会 获得 cUL 或 cULus 的 认证 标志 ， 这 个 标志 和 CSA 
标志 同样 有 效 


™* (SB. c(UL)us c(UL 


CSA 标志 cULus 标志 cUL 标志 


CE 认证 | CE 认证 是 指 在 EU (欧盟 ) 地 区 销售 指 
定 商品 (包括 通信 设备 ) 时 需要 获得 的 
安全 认证 。 符 合 EC 指 令 (EC Directive) 

有 EC 指令 中 的 指令 是 欧盟 法 案 
的 一 种 称呼 。 译 者 注 ]} 中 规定 的 安 
全 标准 的 产品 可 以 获得 CE 认证 标志 ， 不 
符合 的 则 不 允许 在 欧盟 内 销售 


mi 


| CE 认证 标志 
IEC 是 International Electrotechnical Commission 的 缩写 ， 是 一 个 国际 电气 标准 会 议 的 国际 标准 化 组 织 {19[ 我 国 称 其 为 
到 际 电工 委员 会 。 译 者 注 ]}。 它 颁布 了 保证 电气 ) 名 品质 与 全 性 的 标准 评价 制度 IECEE (IEC System for 
IEC、 |Conformity Testing and Certification of Electric Equipment，IEC 电 工 产品 全 认证 体系 ) ， 并 以 此 为 基础 设立 了 CB 
CB 《Certification Body) 框架 “凡是 在 某 个 下 CEE 成 员 员 国 国内 的 认证 济 构 (NCB，National Certification Body) 完成 产 
测试 ， 并 获得 CB 认 证 的 品 ， 均 可 获得 其 他 成 员 国 NCB 机 构 的 认证 ， 免 去 了 二 次 测试 认证 的 麻烦 {20[IECEE-CB 
[以 理解 为 一 种 证 书 互 认 的 体系 。 译 者 注 ]} 


型 


EN (European Norm) 也 称 为 European 
Standard 《 欧 汶 i 标准) ， 它 是 欧盟 成 员 
EN 国之 间 为 了 贸易 以 及 和 业 水 平 统 
化 而 制定 的 区 域 标准 。 符 合 EN 标准 的 
产品 可 获得 ENEC 认 证 标志 ， 可 以 在 整 
个 欧盟 地 区 内 销售 


(数字 表示 认证 机 关 的 编号 ) 


ENEC 标 志 


VCCI (Voluntary Control Council for 
Interference by Information Technology 
Equipment， 电 磁 干 扰 控 制 委 员 会 ) 是 对 


通信 便 件 等 信息 技术 设备 发 射 的 无 线 电 

波 (从 设备 内 对 外 发 射电 磁 破 ) 进行 协 

VCCI “| 定 的 业内 团体 ， 同 时 也 是 标准 名 称 。 对 
义 


商业 、 工 业 区 域 允 许 使 用 的 设备 定 级 为 
Class A， 对 于 住宅 地 区 允许 使 用 的 设 
定 级 为 Class B。Class A 的 设备 需 
的 机 架 和 服 0 安置 ，Class B 
的 设备 要 求 则 相对 宽 


i 


VCCI 认 证 标志 


电源 线 缆 
电源 线 缆 由 线 缆 、 插 头 、 揪 口 、 连 接头 等 部 分 构成 。 
在 日 本 销售 的 线 缆 的 插头 和 插口 如 表 1-48 所 示 。 
表 1-48 ”电源 线 缆 的 组 成 要 素 

全 多 的 组成 


插头 种 类 


2 极 (NEMA1-15p 、 JIS C 8303、Lath 
I1) 


2 极 配备 接地 线 


3 极 (NEMA5-15p) 


2 极 (IEC 60320-C7) 
* 多 用 于 AC 电源 适配器 


3 极 (IEC 60320-C13) 
* 用 于 内 置 电 源 或 AC 电源 适配器 
3 极 (IEC 60320-C5) 

* 多 用 于 AC 电源 适配器 


的 种 类 


2 极 (IEC 60320-C7) 
* 用 于 AC 电源 适配器 


3 极 (IEC 60320-C14) 
* 用 于 内 置 电源 、AC 电源 适配器 、PDU 
(机 架 电源 ) 等 


线 绩 长 度 


8ft (8ft=2.44 米 ) 


居多 


规格 


7A-125V (125V、7A 内 均 可 使 


01.04.13 ”PSE (电气 用 品 安 全 法 ) 


该 法 由 《电气 用 品 管理 法 》 修 订 而 来 ， 于 2001 年 起 正式 实施 ， 2006 年 之 后 ， 规定 PSE 标志 作为 一 种 义务 
必须 以 标识 (图 1-36) 。 大 多 进口 自 国 外 厂商 的 网 络 硬件 在 日 本 国内 销售 时 也 必须 通过 PSE 认证 ,万 
{是 电源 线 纳 筑 和 AC 电源 适配器 这 种 属于 《电气 用 品 管理 法 中 》 "条 殊 电气 用 品 ” 的 硬件 ， 必 须 通过 指定 机 
构 的 测试 才能 进行 销售 。 
图 1-36 PSE 标志 
01.04.14 UPS 
网 络 硬 件 股 需要 电源 才能 运转 ， 但 有 了 时 因为 某 些 原因 (如 表 1-49) ， 可 能 会 出 现 突 然 停电 的 情况 。 停 电 
时 ， 所 有 设 全 部 售 上 运行 ， 通 信也 会 中 断 。 即 使 是 突然 停电 ， 几 乎 所 有 的 路 器 、 ee 络 设备 产 
品 也 能 在 恢复 人 电 后 自动 恢复 运行 ， 重 新 开始 通信 。 但 是 那些 基于 通用 服务 器 的 网 络 角 件 则 需要 在 电源 关 
闭 之 前 运行 关机 命 信 。 另 外 ， 当 设备 在 进行 磁盘 写 入 操作 时 ， 突 然 停 电 可 能 会 导致 正在 写 入 的 数据 丢失 ， 
其 至 会 导致 供电 恢复 设备 也 无 法 再 次 启动 。 
羽 此 即 是 那些 无 需 关机 命 人 的 网 络 硬件 ， 为 了 提高 可 靠 性 ， 也 建议 配备 UPS (Uninterruptible Power 
Supply, 不 间断 电源 供应 系统 ) 。 设备 配备 了 UPS 后 ， 即使 遇 到 停电 ， UPS 也 站 够 向 所 连接 的 设备 提供 
一 定时 司 的 电力 供应 。 一 般 来 说 ，UPS 持续 提供 电力 的 时 间 在 几 分 钟 到 30 分 钟 不 等 。 如 果 需 要 应 对 更 长 
时 间 的 停电 ， 就 需要 自 备 发 电机 了 。 
表 1-49 电源 故障 的 原因 示例 
突然 高 负载 用 电 ， 导 至 到 
、 二 这 时 电 过 高 可 电压 》 A 
供电 设备 故障 设备 老化 时 到 稍 量 功率 下 作 
输 包子 设备 的 开关 等 发 生 * a. » 
有 波 | 币 人 
雷电 导致 的 故障 | 宕 电 引 1 0 刀 
罗 需 电 引 发 的 电压 异常 陡 增 与 电流 异常 陡 增 (雷电 浪 涌 电 流 ) (需要 使 用 防 浪 涌 电 流 装置 ) 
s 故意 或 不 小 心切 断 电源 线 缆 导 致 跳 亲 
人 为 引起 的 故障 | 祷 先 通知 了 的 、 由 于 施工 或 检查 等 商业 原因 的 停电 


01.04.15 ”风扇 


中 端 级 别 以 上 的 网 络 设备 大 多 配备 冷却 风扇 (Fan) (图 1-37) ， 这 是 由 于 设备 内 部 运行 部 件 的 半导体 元 
器 件 ， 尤 其 是 CPU 在 运行 中 会 散发 大 量 的 热量 。 如 果 不 冷 却 ， 会 导致 系统 过 热 (over heat) ， 影 响 半 导 
体 工作 ， 甚 至 导致 其 停止 运行 。 另 外 ， 过 热 也 会 减少 CPU 以 及 其 他 半导体 部 件 的 正常 使 用 寿命 。 


但 风扇 也 有 一 个 缺点 ， 那 就 是 由 于 它 是 靠 马达 带动 时 片 旋转 工作 的 ， 因 此 噪声 很 大 。 


一 般 设备 中 会 通过 特定 的 传感器 监视 风扇 的 运转 是 否 正常 。 当 风扇 转速 低 于 某 个 数值 时 ， 会 引发 SNMP 
trap 或 系统 日 志 事件 ， 进 行 记录 输出 。 


在 高 端 网 络 设备 中 ， 还 会 配备 能 够 在 设备 处 于 运行 状态 时 也 能 替换 ( 即 热 插 拔 ) 的 风扇 部 件 (如 图 1-38 
所 示 ， 叫 做 风扇 单元 或 风扇 模块 ) 。 这 使 得 设备 在 遇 到 风扇 故障 时 ， 能 够 迅速 替换 掉 不 工作 的 风扇 模块 。 


图 1-37 ”风扇 


图 1-38 ”Cisco Catalyst 2360 系列 的 风扇 模块 
气流 导向 
为 了 使 设备 风扇 在 机 框 内 部 能 够 有 效 冷 却 部 件 ， 还 会 设计 一 套 气流 导向 (Air Flow， 空 气 的 流通 ) 。 根 据 


吸 气 口 与 风扇 的 位 置 ， 设 有 从 机 架 的 一 个 侧面 到 另 一 个 侧面 (side to side， 如 图 1-40) 、 从 前 面 到 背面 
(front to rear， 如 图 1-41) 、 从 上 面 到 下 面 (top to bottom) 等 几 个 方向 的 气流 导向 。 网 络 硬件 一 般 安放 


在 服务 器 机 房 或 数据 中 心 这 类 有 温 控 设施 的 地 方 ， 在 进行 机 架 的 安装 操作 (rack mount) 时 ， 一 定 要 注意 


气流 导向 。 


pl 


2 过 的 地 方 堵塞 ， 或 者 空隙 很 小 导致 通气 不 畅 ， 就 会 引起 设备 内 部 CPU 过 热 ， 这 些 问 题 必须 引 
重视 。 


有 时 电源 模块 还 会 配备 专用 的 风扇 ， 专 门 冷 却 电 源 部 分 
风扇 模块 


2 和 = 


排 气 


排 气 
及 电源 风 遍 


电源 模块 


图 1-40 ”侧面 到 侧面 的 气流 导向 示例 


图 1-41 前 面 到 后 面 的 气流 导向 示例 


无 风扇 散热 
低 端 或 桌面 式 的 设备 因为 使 用 发 热量 相对 较 少 的 CPU， 


表面 散热 等 技术 。 


此 设备 中 一 般 不 安装 风 


使 用 了 无 风 户 散热 技术 后 ， 就 不 会 有 噪声 了 。 


表面 散热 需要 使 用 散热 性 较 好 的 金属 做 机 身 ， 使 设备 内 部 的 温度 不 会 太 高 。 


图 1-42 散热 片 (CPU 以 及 半导体 上 安装 的 散热 装置 ， 可 以 发 散热 量 ， 使 温度 下 降 ) 


区 用 散热 片 或 


01.05 “ 线 缆 与 周边 设备 
01.05.01 “ 双 绞 线 缆 


双 绞 线 缆 一 般 也 称 为 LAN 网 线 或 缠绕 对 线 。 
该 线 缆 两 根 细 导 线 一 组 ， 


2 


A 
I 


一 六 4 


Pin1 


Pin8 


1-43 ”RJ-45 连接 头 


01.05.02 STP 与 UTP 


双 绞 线 分 为 外 部 有 屏蔽 的 STP 和 没有 


表 1-50 STP 与 UTP 


异 沿 的 UTP 


日 ， 外 部 包 囊 着 线 套 。 双 绥 线 的 两 端 如 图 


RJ-45 


1 UTP 的 应 用 比较 广泛 


0 


1-43 所 示 ， 使 用 RJ-45 的 连接 


Srp |Shielded Twist | 使 用 钻 稍 包 训 在 外 部 ， 以 减少 外 部 电气 噪声 干扰 的 线 统 ， 也 称 为 屏蔽 绕 线 。 一 般 在 工地 等 噪声 干扰 
Pair 较 多 的 地 方 使 用 
UTP Di 不 带 任何 屏蔽 的 双 绞 线 ， 也 称 为 无 屏蔽 绕 线 。 一 般 用 在 家 庭 和 办 公 室 
类 别 


双 绞 线 如 表 1-51 所 示 ， 分 成 了 几 种 规格 。 规 格 较 高 的 线 缆 可 以 代替 规格 较 低 的 线 缆 ， 


缆 可 以 代替 100BASE-TX 。 


如 6 类 或 7 类 的 线 


表 1-51 双 绞 线 的 类 别 
类 别 | 种 类 传输 速率 频率 适用 范围 规格 
1 UTP | 20kbits 没有 规定 | 电话 (语音 ) 没有 推荐 标准 
2 UTP | 4Mbit/s 64kHz | 令 牌 环 、ISDN、 数 字 PBX 没有 推荐 标准 
3 UTP |16Mbit/s 16MHz ”|10BASE-T、 令 牌 环 EIA/TIA-568-B 
4 UTP | 20Mbit/s 20MHz “| 令 牌 环 、10BASE-T、100BASE-T4 ”| 没有 推荐 标准 
5 UTP |100Mbit/s (2 对 ) 、1Gbits (4 对 ) 100MHz |100BASE-TX、 155Mbit/s ATM EIA/TIA-568-A 


类 别 | 种 类 传输 速率 频率 适用 范围 规格 
5e 注 1 |UTP |100Mbit/s (2 对) 、1Gbit/s (4 对 ) 100MHz |100BASE-TX、1000BASE-T EIA/TIA-568-B 
6 UTP |1.2/2.4Gbit/s 250MHz |1000BASE-T、10GBASE-T EIA/TIA-568-B 
6a 注 2 |UTP | 10Gbit/s 550MHz |10GBASE-T EIA/TIA-568-B.2-10 
yt UTP |10-100Gbit/s 600MHz |10GBASE-T EIA/TIA-568 


注 1: 5e 表示 5 类 增强 型 (category 5 enhanced) 


注 2: 6a 表示 6 类 扩展 2 (category 6 augmented) 


| 并 国内 一 般 统称 超 5 类 、 超 6 类 。 一 一 译 者 注 


01.05.03 ”光纤 


光纤 常用 于 实现 超 高 速 的 数据 传输 。 虽 然 双 绞 线 也 能 完成 10Gbit/s 速率 的 数据 通信 ， 但 是 传输 距离 较 短 ， 
所 以 长 距离 的 高 速 通信 一 般 都 采用 光纤 来 进行 。 


光纤 的 基本 材料 多 采用 透 光 率 非 常 高 的 石英 等 ， 由 这 些 材料 形成 了 一 个 横 截 面 中 心 部 分 (core) 折射 率 较 
高 ， 周 围 的 金属 包 层 (clad) 则 折射 率 较 低 的 同心 圆 延 伸 结构 。 


由 于 该 构造 的 特殊 性 ， 能 够 将 直射 光 封 闭 在 光纤 内 部 〈 使 光 信 号 在 截面 中 心 部 分 和 金属 包 层 处 反射 ) 进行 
专 输 ， 从 而 能 够 自由 改变 光 的 传播 线路 。 


单 模 与 多 模 
光纤 有 单 模 光纤 (SMF) 和 多 模 光纤 MMF) 两 个 规格 ， 二 者 的 传输 距离 不 同 。 


单 模 光纤 (SM，Single Mode) 是 指 通过 一 个 光 信号 来 传输 数据 ， 主 要 用 于 长 距离 的 数据 传输 ， 在 ITU-T 
G.652~657 建议 文件 中 给 出 了 标准 化 参考 。 


多 模 光 纤 (MM，Multi Mode) 使 用 多 个 光 信号 来 传输 数据 ， 它 的 特点 是 光纤 的 中 心 部 分 直径 很 长 ， 能 够 
承受 很 大 的 弯曲 。 由 于 该 光纤 在 传输 过 程 中 损耗 较 大 ， 因 此 只 适合 用 于 短 距离 的 传输 ( 表 1-52) 。 


表 1-52 光纤 的 种 类 


光纤 种 类 ( 规 说 明 


模式 
光纤 种 类 ( 规 说 明 
格 ) 
中 心 部 分 折射 率 固 定 的 光纤 。 光 在 中 心 部 分 与 周围 包 层 的 边界 部 分 发 生 全 反射 ， 在 中 心 内 部 分 成 
多 个 模式 〈 光 的 路 径 ) 传播 。 如 图 所 示 ， 光 在 某 些 模式 下 治 直 线 传播 ， 而 在 某 些 模式 下 则 连续 反 
这 就 导致 所 传输 的 光 信 和 号 发 生 扭 曲 ， 从 而 形成 扭曲 窄带 。， 所 以 目前 几乎 已 不 再 使 用 这 种 光 
折射 率 分 布 
SI (St 
| j= 
调整 中 心 折射 率 分 布 ， 使 得 中 心 部 分 折射 率 很 高 ， 外 部 折射 率 沿 和 从 向 递减 的 光纤 F。 尽 管 与 中 心 的 
光束 相 比 ， 越 靠 外 部 ， 全 反射 的 光束 传播 距离 越 长 ， 但 是 可 以 充分 利用 传输 速率 与 折射 率 的 反比 
例 关 系 ， 使 整个 光纤 的 折射 率 分 布 最 佳 。 当 所 有 模式 的 光束 传播 时 间 相互 接近 时 ， 光 信 号 的 分 数 
也 越 小 。 一 般 光 纤 中 心 的 直径 为 50pm (日 本 ) 或 者 65pm (也 称 为 FDDI 级别， 主要 在 美国 使 
折射 率 分 布 
GI (Graded 
Index) 
SMF 
通用 单 模 (ITU- | 中 心 部 分 直径 很 小 ， 只 能 通过 一 个 模式 的 光纤 。 该 光纤 的 设计 是 当 光 束 波长 为 1310nm 时 ， 色 散 为 
(sM) T G.652 人 此 1310nm 光束 的 传播 性 能 非常 优越 。 单 模 能 够 防止 模式 色散 造成 的 光 信号 扭曲 ， 传 输 损耗 
Table “| 也 很 小 
B) 
DDisyersion | (TU。| 用 于 长 距离 传送 的 单 模 光纤 。 利 用 由 右 英 制 成 的 光纤 在 光束 波长 处 于 1550nm 时 传输 损耗 最 小 的 特 
a 改变 各 有 分布 使 信 光 六 有 色 裔 在 1950am 处 最 个， 着 亿 和 他 加 光波 攻 在 1550nr 中 发 
色散 位 移 光纤 ) | G.653) | 和 位 
NZ-DSF (Non- |sSMF |、 未 步 向 外 位 Sa ys 加 
Zero Dispersion | (ITU- 通过 将 零 色散 光束 波长 从 1550nm 处 逐 向 外 位 移 来 抑制 光束 波长 分 散 的 方式 ， 抑 制 了 在 1550nm 
Shifted Fiber， 处 非 线性 传播 的 光纤 于 舌 道 较 宽 ， 因 此 能 够 稳定 地 传输 信号 。 一 般 适 用 于 大 容 
不 内 色 艇 位 移 |G.655) | WDM 长 下 离 ( 光束 波长 多 次 分 审 】 或 广域网 络 中 使 用 


图 1-44 ”光纤 种 类 与 适用 范围 


光纤 的 规格 


在 ISO/EC 11801 标 ; 


传输 速 
40Gb 


ps 


10Gbps 


1Gbps 


600m 


日 


ISO/AEC 24702 的 标准 中 


纤 标 准 OM4。 这 些 标准 


OMI]1 


用 LED 光源 ， 


该 多 模 光 纤 


模 光纤 的 最 低 
VCSEL” 光源 ， 是 被 称 


式 带宽 ， 


40G/100G 


不 


司 的 颜色 


OS1OS2 则 


22 Vertical Cavi 


过 用 黄色 。 


网 的 传输 
线 缆 上 标识 出 不 同 


y Surface Emitting LASER (垂直 朋 


表 1-53 多 模 光 纤 的 种 类 


使 之 可 以 达到 
为 最 适合 激光 传输 
渝 。OM4 标准 也 被 称 》 


( 表 1-53) 


的 光 引 


1km 


FPF 定义 了 多 模 光 纤 的 标准 OM1、OM2、OM3 与 单 


于 千 兆 以 太 网 时 ， 最 大 传输 距离 
500MHz/km， 在 千 兆 以 大 


可 


HEE 


HH 


纤 标 准 ， 


面 发 射 激光 器 ) 的 缩写 ， 


OM3+ 明了 新 代 光 上 纤 
。0S1 与 0S2 扁 于 单 模 光纤 你 准 . 


NZD 


SM/DSF 


10km 传输 


模 光 纤 的 种 类 OS1。 男 外 ， 在 


FP 定 义 了 单 模 光 纤 标 准 OS2。2009 年 的 EIA/TIA 492-AAAD 标准 
统称 为 OF (Optical Fiber) 类 型 。 


网 中 传输 


限定 为 200m 。OM2 则 改良 了 
分 距离 为 500m。OM3 使 
F 标 准 ， 能 够 将 波长 为 850nm 的 激光 的 折射 率 调整 为 最 


又 定义 了 多 模 光 


A 


范畴 ， 


标准 


橘 黄色 、 


OM1/OM2 使 


属于 半导体 激光 的 一 种 。 


让 参数 如 表 1-54 所 示 
OM3/OM4 使 


Th 


BB 


用 于 长 距离 


淡 蓝 1 


最 低 模式 带宽 (MHz/km) 注 1 
中 心 直 径 最 大 衰减 量 (dB/km) 注 1 - 
种 类 (hm) 过 载 .发 射 带宽 有 效 激光 :发 射 带宽 
850nm 1300nm 850nm 1300nm 850nm 
OM1 62.5 3.5 1.5 200 500 没有 规定 
OM2 50 3.5 1.5 500 500 没有 规定 
OM3 50 3.5 1.5 1,500 500 2,000 
OM4 50 2.5 0.8 3,500 500 4,700 
注 1: 850nm、1300nm 是 激光 的 波长 。 
表 1-54 单 模 光纤 种 类 
dB/km) 注 1 
类 别 最 大 衰减 量 (dB/km) 
1310nm 1383nm 1550nm 
OS1 1.0 没有 规定 1.0 
OS2 0.4 0.4 0.4 


1310nm、1383nm、1550nm 是 激光 的 波长 。 


表 1-55 ”多 模 光 纤 在 以 太 网 中 最 大 的 传输 距离 


类 别 1000BASE-SX 10GBASE-SR 40GBASE-SR4 100GBASE-SR10 
OMI1 275m 33m 没有 规定 没有 规定 
OM2 550m 82m 没有 规定 没有 规定 
OM3 没有 规定 300m 100m 100m 
OM4 没有 规定 550m (500m) 125m 125m 


表 1-56 ”以 太 网 与 光纤 的 传输 标准 


传输 标准 
光纤 种 类 | 传输 速 | 线 统 规 
传输 方式 | 适 同 村 说 明 度 | 格 
a GI 50/125 MMEF 、 
1000BASE-SX 使 用 多 模 光 纤 传 输 波长 为 850nm 的 光 信 号 MMEF OM1、 
GI62.5/125 OM2 
IEEE GI 50/125 ,| MMPF、 
802.3z MMF 1Gbivs |oM1、 
000BASE-LX 使 用 单 模 或 多 模 光 纤 传 输 波 长 为 1300nm 的 光 信 和 号 GI62.5/125 OM2 
SMF 
SMF |SM ed 
10GBASE- 使 用 多 模 光 纤 传 输 波长 为 850nm 的 光 信 号 ， 用 于 短 距 离 通信 | MMF GI 50/125 MMF、 
SR/SW (LAN: 10GBASE-SR, WAN: 10GBASE-SW) OM3 
GI62.5/125 
10GBASE- 使 用 单 模 光 纤 传 输 波 长 为 1310nm 的 光 信 和 号 ， 长 距离 通信 
LR/ILW (LAN: 10GBASE-LR, WAN: 10GBASE-LW) 

AM.Z 工 ps yp | NI/ 呈 A 、 SMF | SM SM 
10GBASE- ”|IEEE “| 使 用 单 模 光纤 传输 波长 为 1550nm 的 光 信 号 ， 长 距离 通信 ee 
ER/EW 802.3ae | (LAN: 10GBASE-ER, WAN: 10GBASE-EW) 注 1 

GI 50/125 
SR SE 席 用 单 模 或 多 模 光纤 传输 波长 为 1310nm 的 光 信号 ， 采 用 多 重 ”| MMF | GI CM 
人 信号 (4 重 ) 传输 。 62.5/125 CM 
(WDM) E> 出 OS1 
SMF |SM 
注 1: 在 近 距 离 中 使 用 该 标准 ， 有 时 会 由 于 光 能 量 过 强 等 原因 无 法 通信 。 这 种 情况 需要 配合 使 用 光 衰 减 器 (attenuator) 来 减弱 光 能 量 。 


光纤 线 缆 连 接头 


在 网 络 硬件 上 连接 光纤 线 绕 ， 需 要 使 用 配备 好 连接 头 的 光纤 。 使 用 的 连接 头 需 要 符合 板 载 (安装 在 网 络 硬 
件 中 ) 的 光 接 口 或 光电 信号 转换 口 的 形状 〈 表 1-57) 。 


表 1-57 光纤 线 缆 连 接头 种 类 


头 名 说 明 形状 


SC 


说 明 


Connector 的 缩写 


(duplex) 。 符 合 


JIS C5973 标 准 ， 可 


以 与 板 载 光纤 搂 
或 GBIC 连 接 


sl 


simplex 


duplex 


头 名 说 明 形状 


ST (Straight Tip 
connector) 连接 头 
ST 为 朗讯 公司 ( 现 为 
阿尔 卡特 一 朗讯 公 
司 ) 的 注册 商标 


10.3 


FC 是 Fiber Connector 
FC 的 缩写 。 符 合 JIS 
C5970 标 准 


头 名 说 明 形状 


48.6 


1.25 


朗讯 公司 开发 的 连 
接头 ，LC 是 Local 
Connector 的 缩写 。 
LC “| 可 连接 板 载 光纤 接 
(100BASE-X) 
或 SFP (mini- 
GIBC) 


MTRJ | 与 其 他 连接 头 不 
(MT | 同 ， 它 是 将 TX (发 
RJ) “| 送 ) 与 RX (接收 ) 
收拢 在 单个 小 连接 
头 中 ， 这 样 就 可 以 
在 很 小 的 面积 里 容 
纳 数 量 众多 的 接 
。MTRJ 是 

Mechanically 
Transferrableferrule- 
Registered Jack style 
Connector 的 缩写 。 
可 连接 板 载 接口 或 
SFP 使 


[ey 


形状 


说 明 


头 名 


说 明 形状 


在 1 


NTT 开发 的 
头 ， 体 积 很 小 ， 因 
个 路 由 器 或 者 司 


MU | 传输 装置 中 能 够 容 
纳 多 个 接口 。 符 合 
JIS C5983 标准 


01.05.04 ”机 架 


为 了 能 高 效 利用 空间 ， 同 时 安装 多 个 网 络 硬 件 而 使 用 的 机 架 (rack) 叫做 19 英寸 机 架 ， 该 名 称 来 自 于 安 
装 硬 件 的 面板 宽度 ， 即 机 架 两 根 支柱 的 间距 为 19 英寸 。 而 且 机 架 的 规格 在 TIA/EIA- 310-D 与 JIS C 6010-2 
中 也 完成 了 标准 化 工作 2 ( 表 1-58) 。 市 场 上 销售 的 19 英寸 机 架 分 为 EIA 标准 商品 与 JIS 标准 商品 ， 
于 二 者 无 法 兼容 ， 因 此 在 选择 时 需要 注意 区 别 。 

i 23 一 般 EIA 属于 国际 标准 范畴 ， 而 JIS 属于 日 本 国家 标准 范畴 。 一 一 译 者 注 


表 1-58 ”机 架 的 规格 与 尺寸 


TIA/EIA-310-D (EIA 标准 ) JIS C 6010-2 (JIS 标准 ) 
机 器 的 宽度 | 482.6+0.4mm 480+1mm 
单元 机 框 | 机 器 的 高 度 | 1U (44.45) xN 一 0.8mm 50xN 一 Imm 
机 器 的 深度 | 没有 规定 没有 规定 
横向 间距 ”| 465.1+1.6mm 465+1.5mm 


表 1-59 ” 摄 津 金属 工业 公司 制造 的 NEC 系列 : 规格 式样 与 特征 (各 尺寸 如 图 1-45、1-46 所 示 ) 


标准 宽度 高 度 有 效 容纳 高 度 深度 
EIA 标准 600~800nm 1000~2200nm 19U~46U 600~1100nm 
高 端 铝 制 机 架 e 铝 制 外 框 ， 轻 量 量 的 高 端 19 英 寸 网 络 硬 件 机 架 


e 充 分 支持 设备 尺寸 以 及 规格 的 多 样 化 

e19 英 寸 硬 件 安装 面板 支架 与 机 架 文 柱 分 离 ， 能 够 在 一 定 范 围 内 移动 后 

人 人 以 及 机 架 上 部 安装 另外 销 人 的 风扇 模 据 ， 全 得 机 染 可 人 可 以 强制 
气 散 热 


代 柜 人 慌 基 


图 1-45 机 架 尺寸 


19 英 寸 硬 件 
19 英 寸 机 架 


NS 
S| ~ 
宽度 S| 


图 1-46 19 英寸 机 架 的 硬件 安装 
19 英寸 机 架 自身 的 宽度 一 般 为 60~70cm 。 


除了 小 型 路 由 器 或 交换 机 ， 几 乎 所 有 的 网 络 硬件 都 可 以 放 进 19 英寸 机 架 之 中 ， 设 备 的 高 度 也 可 以 是 从 1U 
(Unit，1U=44.45mm=1.75inch) 到 数 倍 的 U (1U、2U、3U...... ) 不 等 (一般 1U 也 可 记 为 1RU， 表 示 
Rack Unit 的 意思 ) 。 如 果 是 3U 以 上 的 大 型 硬件 ， 在 设备 前 部 的 左右 两 人 出 ， 还 会 配备 用 于 机 架 固 定 (Rack 
Mount) 的 金属 支架 〈 称 为 bracket， 俗 称 机 架 耳 ) ， 算 上 该 部 件 的 后 ， 整 个 设备 的 宽度 可 以 达到 
482mm ° 


| em 
前 部 主 螺丝 


图 1-47 金属 支架 
大 小 在 2U 以 下 的 设备 可 能 会 经 常 需要 将 金属 支架 取 下 ， 和 设备 安装 在 一 起 。 取 下 金属 支架 后 ， 整 个 硬件 
的 宽度 会 变 为 40mm 左右 。 


虽然 没有 具体 规定 硬件 的 深度 标准 ， 但 考虑 到 某 些 限 制 高 度 的 高 端 设备 会 在 深度 上 有 很 大 的 扩展 ， 因 此 有 
必要 事先 确认 这 类 设备 是 否 能 够 安装 到 机 架 上 。 


EIA 标 准 JIS 标 准 [单位 : mm ] 


| me | | 1U 2U 3U 4 Si 医 > 当 le 1 网 市 4 强 
-一 一 He He HH 零件 螺 距 H= H= H= 


如 149 199 249 


图 1-48 ”机 架 安 装 螺 距 
减轻 噪声 


机 架 式 网 络 硬 件 的 散热 风扇 会 发 出 噪声 。 虽 然 这 类 机 架 和 设备 一 般 都 会 放 在 配 有 空调 的 机 房 中 ， 但 有 时 也 
会 有 放置 在 办 公 室 工 作 区 域 的 需求 ， 因 此 需要 选择 可 以 降低 噪声 的 设备 机 架 。 


散热 管理 


当 机 架 上 硬件 的 密度 增加 时 ， 热 量 也 会 大 幅 增加 ， 特 别 
应 ， 因 此 需要 配备 机 架 专用 的 冷却 风扇 ， 或 者 在 房间 的 项 


机 架 安 装 部 件 
在 网 络 硬件 中 会 配备 称 为 机 架 安 装 部 件 的 小 工具 套件 ， 用 于 将 设备 安装 到 19 英寸 机 架 上 。 


2U 而 对 于 那些 较 深 的 硬件 则 会 配备 轨道 式 零 部 件 (安装 导轨 ， 如 图 
1-49 所 示 ) 。 


六 


正面 有 密封 机 箱 门 的 设备 。 由 于 热量 有 累积 效 
部 、 前 部 或 后 部 安装 散热 的 通风 口 。 


图 1-49 轨道 式 机 架 安装 部 件 


如 有 果 硬 件 没有 配套 的 机 架 安 装 部 件 或 者 0 i 19 英寸 机 架 上 安装 时 ， 也 可 以 选 
择 购买 设备 对 应 的 金属 隔 板 (图 1-50 所 示 ) ， 将 设备 放 在 上 面 即 可 。 


图 1-50 金属 隔 板 
桌面 式 设备 可 以 使 用 如 图 1-51 所 示 的 面板 式 机 架 部 件 进 行 安装 ， 面 板 部 件 需 另 外 购买 。 


图 1-51 YAMAHA 机 架 安装 部 件 YRK-1500 


第 2 章 彻底 理解 2 交换 机 


本 章 将 介绍 交换 机 的 历史 、 类 型 、 功 能 和 架构 。 确 认 交 换 机 设备 的 主要 产品 ， 并 进一步 理解 交换 容量 
以 及 非 阻 塞 性 能 的 设计 方法 。 


介绍 网 络 管理 协议 SNMP 和 用 于 网 络 信息 统计 的 Netflow 软件 。 


02.01 中 继 器 和 网 桥 的 不 同 点 


0 (OSI 参考 模型 ) 中 多 个 网 段 互 联 的 功能 实体 称 为 桥 或 网 桥 。 通 过 网 桥 进行 的 数据 发 送 则 称 为 
过 程 。 


02.01.01 什么 是 中 继 器 


中 继 器 (repeater) 是 一 种 信号 增强 装置 ， 在 OSI 参考 模型 的 第 1 层 上 运行 。 第 1 层 是 物理 层 ， 它 的 功能 
仅仅 是 将 被 噪声 影响 的 信号 重新 输出 ， 不 再 进行 额外 的 数据 控制 。 由 于 物理 层 只 是 定义 了 网 络 的 电气 、 机 
械 、 规 程 、 功 能 等 标准 ， 因 此 中 继 器 无 法 辨别 数据 链 路 层 的 MAC 地 址 以 及 网 络 层 的 IP 地 址 。 


图 2-1 思科 公司 使 用 的 中 继 器 图 标 

02.01.02 什么 是 网 桥 

通过 两 个 接口 连接 两 个 冲突 域 ! 的 装置 称 为 网 桥 。 网 桥 的 作用 相当 于 OSI 模型 中 的 数据 链 路 层 。 网 桥 的 种 
0 2-1 所 示 ， 目 前 使 用 的 几乎 都 是 透明 网 桥 了 “。 大 家 耳熟能详 的 交换 集线器 也 可 以 称 为 多 端口 透明 网 


| : 由 共享 式 集线器 形成 的 网 段 称 为 冲突 域 。 


图 2-2 思科 公司 使 用 的 网 桥 图 标 
表 2-1 网 桥 的 种 类 


名 称 说 明 拓扑 结构 


名 称 说 明 拓扑 结构 


ce 


02.5) 。 


源 路 由 网 桥 
(Source Route 
Bridging) 


可 到 丑 守 每 江 层 导 也 聚 到 则 如 党 
2 ” 避 到 ”了 胞 开 二 


| 
EF 


发 守之 局 作 


和 


透明 网 桥 


(Transparent | 全 楼 的 


Bridging) 置 称 为 透 
自 


于 
| 
= 
瀑 语 过 本 


灌 王 
2 
冯 片 吉 习 。 
芽 底 料 屋 

置 六 到 坦 闪 民 湿 


以太 网 以 六 网 


| 昌 玉 苦于 感 忆 或 民 总 让 
上 | 对 涉 开 EE 
党 
所 


名 称 说 明 拓扑 结构 


简称 为 

SRT 。 

IBM 公 司 
源 路 由 透明 网 | 发 的 产品 ， 
桥 将 源 路 由 网 


(Source-route | 桥 (SRB) 
Transparent 与 透明 网 桥 
Bridging) 集成 于 同一 

该 装 


牌 环 网 络 > 
以 太 网 令 牌 环 


转换 网 桥 |MAC 层 了 
(Translational 这 
Bridging) 人 0 


牌 环 中 也 可 

et FDD| 
转换 网 桥 
N 

以 太 网 


(Encapsulation 昌 帧 封装 成 


Bridging) EDD ee VAN 


02.01.03 ”共享 式 集线器 


集线器 (hub) 是 指 集中 器 设备 (concentrator) 。 带 有 中 继 器 功能 的 集线器 也 可 以 称 为 共享 式 集线器 、 多 


端口 中 继 器 、 中 继 集线器 等 。 在 网 络 术语 中 ， 集 线 器 一 般 是 指 共享 式 集线器 ， 但 目前 市 场 上 销售 的 集线器 


产品 一 般 都 是 指 交换 式 集线器 。 
集线器 中 连接 线 缆 RJ-45 模块 接 


Wh cesy 


E 源 由 个 人 计算 机 提供 ) ， 


的 部 分 称 为 端口 ， 根 据 集线器 大 小 的 不 同 ， 可 以 分 为 4、8、12、 


只 是 目前 这 些 产 品 在 市 场 上 ,不 多 见 。 


16、24 等 多 种 类 型 。 集 线 器 一 般 可 以 独立 本 忆 置 使 用 ， 因此 形态 多 样 。 Re 
有 的 产品 可 以 安装 到 机 架 上 ， 还 有 的 产品 可 以 堆 释 (stackable) 在 一 起 工 


图 2-3 思科 公司 使 用 的 共享 式 集线器 图 标 


在 最 初 的 以 太 网 (IEEE 802.3) 标准 10BASE5 
输 媒介 ， 通 过 在 接口 处 插入 连接 着 各 终端 的 转换 器 ， 形 成 一 个 总 线 型 的 拓扑 结构 ， 


10Mbit/s 的 带宽 。 


自从 使 用 双 绞 线 (以 太 网线 绕 ) 的 b 


采用 如 图 2-4 所 示 的 粗 同 电缆 (黄色 线 绕 ) 作为 传 
在 一 根 线 缆 上 共享 


太 网 标准 10BASE-T 颁布 之 后 ， 各 终端 与 共享 式 集 线 器 之 间 都 开始 使 


Access/Collision 


发 送 数据 ， 也 就 是 通过 载波 侦 听 来 明确 ; 


果 发 现 通 信和 


单独 的 接口 进行 连接 ， 这 样 就 形成 了 一 个 星星 的 拓扑 结构 ， 但 是 同样 能 够 形成 一 个 与 10BASE5 相同 的 
共享 带宽 的 LAN 网 段 。 


在 共享 带宽 的 情 


况 下 ， 网 络 的 每 一 个 终端 能 否 发 送 数 据 将 采用 CSMA/CD (Carrier Sense Multiple 
Detection) 方式 来 决定 。 这 个 决定 方式 首先 判断 的 是 在 通信 链 路 上 有 没有 其 他 终端 节点 在 


送 数 据 从 而 产生 冲突 (collision) 的 情况 。 整 个 网 络 中 共享 网 络 终端 的 数量 越 多 ， 发 生 冲 突 的 概率 也 会 增 


加 。 


信和 链 路 是 否 正 在 使 用 。 如果 通信 和 链 路 空间 ， 则 开始 发 送 数据 。 如 


和 


链 路 正在 使 用 ， 则 需要 继续 等 待 ， 因 此 通信 效率 很 低 。 甚 至 还 会 出 现 多 个 网 络 终端 节点 同时 发 


( 粗 同 轴 电 缆 】 ( 转换 器 ) Ss 


图 2-4 10BASE5 的 结构 


: 


最 长 500m ( 直到 100 个 节点 ) 一 一 一 >| 


个 人 计算 机 


图 2-5 使 用 10BASE5 的 转换 器 进行 连接 
02.01.04 ”交换 式 集线器 
网 村 和 。 


| 根据 上 下 文 ， 这 里 的 交换 式 集线器 为 实际 意义 上 的 交换 机 。- 译 者 注 


| 以 下 交换 机 均 指 以 太 网 交换 机 ， 读 者 不 要 和 程控 电话 网 络 交换 机 或 光线 交换 机 混淆 。- 译 者 注 


在 共享 式 集线器 中 ， 从 发 送 方 接 收 到 的 数据 会 直接 转发 到 所 有 非 发 送 方 端口 ， 也 就 是 单纯 地 通过 复制 电气 
信号 来 实现 发 送 。 


但 是 交换 式 集 线 器 则 通过 学 习 连 接 的 每 个 网 络 终端 的 MAC 地址 ， 将 数据 仅 发 送 到 发 送 方 所 期 望 的 目的 终 
端 上 去 ， 避 免 了 将 数据 发 送 到 无 关 端 口 ， 从 而 提高 了 了 网络 利用 率 。 


如 果 在 学 习 MAC 地 址 前 遇 到 发 送 目 的 地 不 明 ， 或 者 想 与 网 段 内 所 有 终端 进行 通信 的 情况 时 ， 交 换 式 集 线 
器 将 采用 “广播 "方式 ， 像 共享 式 集线器 那样 ， 将 数据 帧 转发 到 所 有 非 发 送 方 端口 。 


2-6 ”思科 公司 使 用 的 交换 机 图 标 
02.01.05 ”学 习 MAC 地 址 


交换 机 通过 确认 以 太 网 数据 帧 的 发 送 源 MAC 地 址 ， 习 得 交换 机 端口 号 和 该 端口 所 连 硬件 MAC 地 址 的 本 
对 信息 ， 并 将 该 信息 记录 到 其 内 部 的 MAC 地 址 表 中 (图 2-7) 。 


cu 


00:1a:23:33:11:11 00:1a:23:33:11:22 00:1a:23:33:11:33 00:1a:23:33:11:44 


@ 当主 机 A 与 主机 DD 通信 时 ， 主 机 A 先 发 送 MAC 数据 帧 ， 该 数据 帧 中 包含 发 送 源 主 机 A 的 MAC 地 址 和 发 送 目的 主机 D 的 MAC 地 址 。 
交换 机 从 端口 1 处 接收 到 发 送 源 MAC 地 址 为 00:1a:23:33:11:11 的 数据 帧 后 ， 得 到 了 “端口 1 上 插 着 的 MAC 地 址 为 00:1a:23:33:11:11” 的 信 
息 ， 从 而 习 得 主机 A 的 MAC 地 址 。 随 后 ， 交 换 机 将 习 得 主机 A 的 MAC 地 址 注册 到 内 部 的 MAC 地 址 表 中 。 
@ 这 时 ， 交 换 机 尚 不 知道 发 送 目 的 主机 的 MAC 地 址 00:1a:23:33:11:44 位 于 何 处 ， 会 将 该 数据 帧 转发 到 除 端口 1 之 外 的 所 有 端口 上 去 。 
交换 机 的 这 一 行为 称 作 flooding 。 


端口 1 
00:1a:23:33:11:11 
端口 4 
00:13:23:33:11:44 


QF1823:33:TR11 00:1a:23:33:11;22 00:1a:23:33:11:33 00:1a:23:33:11:44 


目 这 时 ， 主 机 B 和 主机 C 虽然 收 到 了 目的 地 MAC 地 址 为 00:1a:23:33:11:44 的 数据 帧 ， 但 身 并 非 该 目的 地 址 ， 便 丢弃 该 帧 ， 只 有 主机 
D 会 接收 该 数据 帧 。 
@ 主机 D 会 向 主机 A 发 送 应 答 数据 帧 ， 应 答 数据 帧 中 包括 了 发 送 源 的 MAC 地 址 00:1a:23:33:11:44。 这 时 ， 交 换 机 便 可 得 知 端口 4 上 连 着 
MAC 地 址 为 00:1a:23:33:11:44 的 设备 ， 并 将 该 信息 记录 到 内 部 的 MAC 地 址 表 中 。 
日 至此， 交换 机 习 得 了 主机 A 和 主机 DD 的 MAC 地 址 信息 ， 随 后 的 通信 也 不 会 再 有 flooding。 对 于 交换 机 而 言 ， 同 样 也 可 以 从 和 主机 B、 主 
机 C 之 间 的 通信 习 得 它们 的 MAC 地 址 。 


图 2-7 “学习 MAC 地 址 

如 果 MAC 地 址 表 的 记录 项 (包含 端口 号 和 MAC 地 址 的 配对 信息 ) 一 直 保 留 ， 当 连接 端口 的 设备 发 生变 
化 时 ， 就 会 出 现实 际 情况 和 表 项 无 法 对 应 的 情况 。 因 此 需要 给 MAC 地 址 表 的 记录 项 设置 一 个 超时 信 ， 该 
项 超时 值 也 可 以 称 为 MAC 地 址 的 老化 时 间 (aging time) 。 在 思科 公司 的 Catalyst 交换 机 中 该 项 数值 默认 
为 5 分 钟 ， 并 且 可 以 通过 配置 进行 更 改 。 交 换 机 设备 会 根据 该 值 对 习 得 的 MAC 地 址 表 中 的 纪录 项 进行 老 
化 消去 (aging) 操作 ， 被 消去 的 纪录 项 会 显示 为 aging out 。 
管理 员 还 能 通过 使 用 命令 行 静态 地 对 MAC 地 址 表 中 添加 表 项 ， 这 时 交换 机 的 老化 消去 将 会 失效 。 
02.01.06 ”使 用 交换 机 的 优点 


户 从 集线器 (共享 式 集线器 ) 向 交换 机 (交换 式 集线器 ) 迁移 ， 会 有 表 2-2 所 示 的 优点 。 


i 


表 2-2 使 用 交换 机 的 优点 


优点 


说 明 


冲突 域 固 


在 


主机 (个 人 计 


机 等 ) 


接连 接 到 交换 机 时 ， 冲 突 域 只 会 在 交换 机 端口 和 主机 之 间 形 成 。 


和 


五 


彻底 的 全 双 工 通信 


冲 


大 域 中 不 丰 二 他 3 


机 ， 


使 主机 能 够 同时 完成 发 送 和 接收 工作 。 


阻 断 错误 数据 帧 


存储 转发 型 (02.03 节 ) 交换 机 


能 够 检查 接收 到 的 数据 帧 是 否 有 F 及 时 丢弃 有 错误 的 数据 帧 。 


错误 ， 并 


独 享 带 


发 


送 和 接收 


[ 作 在 两 个 交换 机 端 


守 


之 间 分 别 进行 ， 使 每 自 


wie 


此 宽 都 可 以 有 效 利 


02.02 


交换 机 是 如 何 诞生 的 


02.02.01 ”以 太 网 的 历史 


了 


1973 年 5 月 ， 美 


该 词 来 
字 的 引 


> 三 


o 


于 19 世纪 


国 施乐 公司 的 罗 1 
人 们 假想 的 一 和 


符 . 梅 


能 够 传播 


;| O 


) 博士 开发 了 以 太 网 (Ethernet) 4 
(ether) 以 及 网 络 (network) 两 个 名 


特 卡 夫 (Robert M. Metcalfe) 
电磁 波 和 光 的 物质 以 太 


14 当 在- 


时 ， 梅 特 卡 夫 


与 


士 给 他 


梅 特 卡 夫 博 了 
员 。 当 时 的 施 
此 将 


乐 公司 I 
网 络 系 统 的 架构 工人 


的 老板 写 了 一 篇 关 了 


发 出 
正在 3 


FF 以太 


个 人 计算 机 的 


网 潜力 的 备忘录 。 


i 这 


是 


尚 无 成 型 的 产品 。 


时 以 太 网 尚 处 于 实验 的 初步 阶段 ， 者 注 


PARC5 (Palo Alto Research Center， 帕 罗 奥 多 研究 中 心 ) 的 研究 


生发 世界 上 最 时 


E 交 给 了 


机 上 ， 因 
该 机 构 为 IT 史上 


上 最 著名 的 研究 室 之 


机 


5 
术 没 能 被 其 母 


公司 施乐 公 


司 转化 为 


6 场 成 只 


个 


译 


[SB 


进 


控制 当时 最 2 


机 ， 这 就 需 


曾经 参与 


的 高 速 激 》 
梅 竺 卡 夫 博 十 


(Carrier Sense Multiple Access, 


打印 机 儿 需 
设计 出 前 月 


载波 


要 有 
所 未 
贞 


EE 的 激 》 
给 了 梅 特 卡 


| 据 称 “ 


听 多 路 访 


打印 机 ， 打 算 将 该 研究 


夫 博 士 


FP 心 内 所 有 的 计算 机 都 连接 到 打印 


玉 | 


让 科学 家 里 ， 


最 优秀 的 100 位 有 76 位 在 帕克 


天 已 


者 注 


足够 快 的 网 速 做 保障 ， 而 
有 的 网 络 架构 。 最 终 ， 梅 
可 ) 技术 。 


还 要 在 同一 由 大 楼 
FE 夫 在 该 网 络 中 使 用 


特 


梅 特 卡 夫 博 


汇 作 


可 过 美 匡 


防 部 高 级 


类 似 ， 也 采 


的 设计 工作 。ALOHA 网 采 


Tl 


完 计 划 获 的 阿 昌 网 (ARPANET) 和 夏 威 更 从 学 的 ALOHA 网 


用 


js ALOHA 网 计划 始 
信 


网 络 。 一 一 译 者 注 


相同 ; 
E 够 检测 


该 


“1968 午 ， 


通信 线路 连接 的 多 


20 


多 人 


了 无 线 通信 技术 ， 
了 CSMA 技术 6 。 


世纪 70 年 代 的 1G 移动 通信 技术 和 20 


夷 群 


中 用 于 满足 夏 威 岛 间 的 通信 需 而 ， 与 现在 的 LAN 通信 


世纪 80 年 代 的 2G 通信 技术 ， 境 的 计 元 线 通 


算 机 


* 果 


台 计 算 


! 突 3 


当 以 太 


为 高 速 8 


的 


口 


] 轴 


再 次 发 送 的 机 制 
绕 作 为 传输 


HE 


网 产品 


5 另外 ， 
逐步 完善 。 


在 此 之 后 ， 
10Mbit/s 的 DIX 
件 “Ethernet 标准 


使 


以 太 网 标准 (DIX 是 DEC 、Intel 、Xerox 
F 的 IEEE 802 委 


1.0” 在 


| 7 这 表明 DIX 标准 不 


原 


媒介 


机 设备 能 够 
。ALOHA 网 
配 以 


由 
使 


来 完成 高 速 通 


发 送 数据 ，CSMA 技术 中 设计 了 当 
了 无 线 电磁 波 作 为 通信 的 传输 媒介 
言 的 网 络 接口 。 


到 通信 
太 网 


过 


， 而 了 


四 


已 
最 终 完成 时 ， 


DEC 公司 、Intel 公司 以 及 施乐 公司 在 1979 性 


召 


1982 了 


的 企业 联盟 标准 ， 而 是 


{传输 速率 为 2.94Mbit/s， 
光纤 作为 传输 媒介 、 速 率 达 到 150Mbit/s 的 


使 用 了 1km 的 线 缆 将 100 台 以 上 的 终端 
高 速 通 信 等 以 太 网 技术 也 通过 不 断 实 验 


通信 竺 


可 


十 


FE 共同 制定 了 当时 最 为 经 济 实 囊 的 、 
的 首 字母 的 组 合 ) 
议 上 正式 发 布 ”。 


专 输 速 率 为 
。 这 项 DIX 标准 的 标准 化 文 


局 公公、 
由 安安 


正式 成 为 了 IEEE 标准 。 一 一 译 者 注 


随后 ， 
以 及 使 


| 8 2013 年 4 月 ，400Gbits 以 太 网 技术 的 会 议 正式 召 


而 CSMA/CD 则 在 1983 和 


从 传输 速度 为 10Mbivs 开始 ， 
双 绞 线 、 光 纤 作 为 传输 媒介 的 以 太 网 标准 ， 如 今 ， 标 准 的 台 


出 现 该 速率 的 以 太 网 。 


前 ， 广 泛 普及 的 以 太 网 标准 是 基于 此 后 的 “Ethernet 标准 2.0” 确 定 的 (同样 于 1982 年 | 
的 IEEE802.3 中 完成 了 标准 化 。 


不 断 出 现 了 100Mbit/s、1Gbit/s、10Gpbs 等 速度 更 快 的 以 太 网 标准 ， 


IEEE 发 布 ) ， 


02.02.02 ”世界 上 最 早 的 交换 机 


在 20 世纪 80 重 


分 割 |; 


FE 代 ， 很 多 企业 开始 察觉 到 使 
! 突 域 的 以 太 网 网 桥 设备 。 


， 可 以 预见 ， 不 久 的 将 来 就 会 


共享 式 .人 


更 新 仍然 是 


线 器 构成 的 LAN 性 


明 异 8 。 


， 便 逐步 开始 使 


3 能够 


IN www 
Kp 31 


IN 

WAVE 

MOO 
人 ioe 


图 2-8 ”世界 上 最 早 的 EtherSwitch 


1990 年 ， 


Kalpana 公司 ? 发 售 了 | 


型 的 网 桥 装 置 只 有 两 个 端 


个 概念 
使 


导 


口 ， 


台 被 人 们 接受 。 
L (Switch) 一 词 。 


| 9 该 公司 创始 人 


Kalpana 随后 还 


20 


世纪 90 年 代 ， 随 着 IC 


P 有 一 位 是 印度 裔 ， 公 


开发 了 EtherChannel 产品 ,村 


| 


世界 上 首 台 交换 机 产品 EtherSwitch (图 
EtherSwitch 拥有 7 个 端 
于 当时 的 EtherSwitch 没有 实现 IEEE 规定 的 相关 标准 ， 不 能 称 之 为 网 桥 ， 所 以 


司 同样 在 IT 圣地 硅谷 成 立 。 一 一 译 者 注 


,在 此 之 后 ， 


F 1994 年 被 思科 公司 收购 。 


技术 的 攻 勃 发 展 ， 网 桥 制 造 商 开始 将 运行 于 CPU 的 L2 传输 控制 从 软件 程序 逐 


2-8) 


拥有 多 


。 在 此 之 前 ， 


个 端 


普通 存储 转发 
的 以 太 网 交换 机 这 


步 移 到 ASIC 和 FPGA 上 。 这 类 技术 使 网 桥 内 部 分 组 处 理 的 通信 时 延 (latency) 降 到 了 10 微妙 左右 ， 而 
且 可 以 在 性 能 无 损 的 前 提 下 桥接 多 个 端口 。 这 时 ， 以 太 网 交换 机 开始 作为 网 络 技术 术语 逐步 推广 开 来 。 
表 2-3 ”交换 机 的 历史 信息 汇总 也 
| 外 包括 中 国 的 华为 、 中 兴 以 及 法 国 阿尔 卡特 、 瑞 典 爱立信 、 加 拿 大 北 电 等 公司 的 产品 。 一 一 译 
| 者 注 

年 代 事件 标准 化 概述 

1968|ALOHA 网 在 夏威夷 启动 

1970 | 阿 帕 网 启动 

1972 | ALOHA 网 开始 架构 建设 

1973 | 罗伯特 - 梅 尔 卡特 博士 命名 的 Ethernet 一 词 正式 出 现 


年 代 事件 标准 化 概述 
IEEE 成 立 了 Project 802 工 作 组 ， 吕 
上 网 hs 

980 | DIX 以 太 网 发 布 在 促进 LAN 标 准 化 

1981 TCP/IP 标 准 化 

983 IEEE802.3 (10BASE5) 

1987 | SynOptics 公司 发 售 10BASE-T 的 原型 产品 LattisNet 


988 


CERNL 开发 WWW 


国 Ungermann-Bass 公 司 卫 发售 世界 上 第 一 台 机 框 式 集线器 Access/One 


IEEE 802.3a (10BASE2) 


1990 


Kalpana 公 司 发 布 世界 上 第 一 台 以 太 网 交换 机 EtherSwitch 


IEEE 802.3i (10BASE-T) 


993 


思科 公司 收购 Crescendo 通 信 公 司 ， 产 品 线 整合 为 思科 的 Catalyst 5000 系 列 


Bay Networks 公 司 发 售 搭载 VLAN 功 能 的 以 太 网 交换 机 产品 


1996 


Foundry Networks 公 司 创立 
Extreme Networks 公 司 创立 


994 | 思科 公司 收购 Kalpana 公 司 ， 产 品 线 整 合 为 思科 的 Catalyst 3000 系 列 
1995 | 思科 公司 收购 Grand Junction Networks 公 司 ， 产 品 线 整合 为 思科 的 Catalyst 1900/2800 
系列 


AX 系 列 


1997 |L3 交 换 机 研发 成 功 

1998 IEEE 802.3z (1000BASE-X) 

1999 | 思科 公司 发 售 Catalyst 6500 系 列 产品 IEEE 802.3ab (1000BASE-T) 
IEEE 802.3ae (10GBASE-SR 等 ) 

2003 IEEE802.3af (Power over 
Ethernet) 

立 电线 公司 发 售 以 太 网 交换 机 产品 Apresia 
2004 | 日 立 制作 所 和 日 本 电气 合资 的 ALAXALA Networks 公 司 成 立 ， 发 售 主干 交换 机 产品 


2006 IEEE 802.3an (10GBASE-T) 
2008 | 博 科 通信 系统 公司 (Brocade Communications Systems) 收购 Foundry Networks 公 

司 ，Juniper 公司 发 售 以 太 网 交换 机 “EX 系列 ” 
2010 IEEE 802.3ba (40G/100G 以 太 网 ) 


11 该 公司 创始 人 同样 出 身 于 PARC， 之 后 转战 多 家 最 终 任职 于 现在 的 3 


| 


美 3 


珊 
贡 


| 于 即 欧洲 原子 能 中 心 。 一 一 译 者 注 
| 2 该 公司 同样 几经 转手 后 ， 最 终 有 


阿尔 卡特 朗讯 公司 。 一 一 译 者 注 


02.03 ”交换 机 中 使 用 的 数据 帧 及 其 传输 方式 
02.03.01 “以太 网 数据 帧 的 种 类 


交换 机 中 使 


的 以 太 网 数据 帧 类 


型 如 表 2-4 所 示 。 


表 2-4 以太 网 使 用 的 数据 帧 类 型 


名 称 说 明 
单 播 数据 帧 (Unicast frame) 送 目的 地 地 址 为 广播 或 多 播 以 外 的 数据 由 
广播 数据 帧 《Broadcast frame) “| 发 送 目的 地 为 广播 地 址 (FF:FF:FF:FF:FF:FF) 的 数据 帧 
多 播 数据 帧 (Multicast frame) 0 也 为 多 播 地 址 的 数据 帧 。 具 有 代表 性 的 多 播 地 址 为 01-00-5E-xx-xxxx (其 中 x 为 任 


不 完全 帧 (Runt frame) a ` 长度 为 63 字 节 以 下 的 数据 帧 。 交 换 机 将 这 类 数据 帧 识别 为 由 于 冲突 等 原 
小 巨人 帧 (Baby Giant frame) 下 MTU 规定 的 1518 字 节 稍 大 的 数据 帧 ， 在 I 耻 EE802.11Q 的 TRUNK 中 是 指 1522 字 节 的 


frame) 


巨型 帧 (Jumbo frame 或 Giant 


比 通常 MTU 规定 的 1518 字 节 大 很 多 的 数据 帧 


02.03.02 ”交换 机 数据 帧 的 传输 方式 


交换 机 从 接收 以 太 网 数据 帧 到 发 送 新 的 以 太 网 数据 帧 ， 这 之 间 会 有 三 种 处 理 方法 ， 即 直通 转发 (cut 
through) 、 碎 片 隔离 (fragment free) 和 存储 转发 (stored-forward) 。 

交换 机 产品 出 现在 市 场 之 前 ， 业 内 主要 流行 的 是 区 用 软件 处 理 存储 转发 的 网 桥 装 置 。 由 于 处 理 时 间 和 
通信 时 延 太 长 ， 于 是 又 引入 了 直通 转发 的 处 理 方式 。 直 通 转 发 处 理 虽然 时 延 很 短 ， 但 是 也 有 无 法 丢弃 错误 
帧 的 缺点 。 当 前 主流 的 交换 机 都 使 了 ASIC 和 FPGA 等 基于 硬件 的 高 速 处 理 数据 帧 ， 因 此 存储 转发 的 处 
理 方式 越 来 越 多 。 

直通 转发 

在 直通 转发 交换 技术 中 ， 交 换 设备 只 需 读 取 数据 帧 最 初 的 14 个 字 节 (图 2-9) 即 可 将 数据 帧 发 送 至 目的 
地 。 数 据 帧 按照 接收 顺序 依次 发 送 ， 属 于 先进 先 出 (FIFO，First In、First Out) 方式 。 在 10Mbit/s 以 太 网 
中 约 有 25 微 秒 的 通信 时 延 ， 而 在 快速 以 太 网 中 通信 时 延 只 有 7 微 秒 。 尽 管 该 方式 采用 最 小 的 时 延 来 转发 
数据 帧 ， 但 由 于 读 取 的 数据 量 固定 ， 通 信 的 发 送 方 与 接收 方 不 得 不 采用 一 致 的 速度 来 完成 数据 帧 的 发 送 与 
接收。 这 会 导致 无 法 将 普通 以 太 网 桥接 到 不 同 速率 的 快速 以 太 网 。 另 外 由 于 接收 方 仅 读 
取 前 面 的 14 个 字 节 之 后 就 立刻 通过 通信 端口 发 送 了 ， 因 此 跳 过 了 读 取 以 太 网 数据 帧 尾部 〈 最 后 的 4 个 字 
节 ) 的 FCS 域 ， 从 而 无 法 检测 并 及 时 丢弃 发 生 CRC 校 验 错误 的 数据 帧 。 不 过 虽然 无 法 立刻 丢弃 ， 但 是 当 
最 后 读 取 到 某 数据 帧 的 FCS 域 并 检测 出 错误 后 ， 还 是 可 以 更 新 错误 帧 计数 器 的 。 


读 取 到 这 里 为 止 一 


目的 地 发 送 源 


8 字 节 6 字 节 46~1500 字 节 4 字 节 
图 2-9 ”直通 转发 中 数据 帧 的 读 取 位 置 


虽然 直通 转发 交换 当前 几乎 很 少 使 用 ， 但 对 于 那些 在 通信 和 量 明 确 可 计 的 网 络 中 使 用 j 户 都 分 配 端 吕 
还 是 非常 推荐 使 用 的 。 这 种 情况 时 ， 直通 辕 发 也 可 以 同 后 六 会 提 到 的 自生 应 一 同 


有 时 ， 直 通 转发 还 可 以 和 碎片 隔离 交换 结合 使 用 ， 这 时 ， 仅 读 取 数据 巾 前 14 个 字 节 的 方式 称 为 快速 转发 
(Fast-forward) 方式 。 


碎片 隔离 
该 方式 也 称 为 修正 版 的 直通 转发 (Modified Cut-through) 。 


碎片 隔离 (Fragment-free) 交换 方式 如 图 2-10 所 示 ， 首 先 会 读 取 数 据 帧 的 前 64 个 字 节 ， 这 就 防止 了 冲突 
时 转发 残 帧 runt， 也 叫做 冲突 碎片 ， 指 因为 发 生 碰 撞 而 出 现 的 小 于 63 字 节 的 废弃 帧 ) 的 情况 。 在 IEEE 
802.3 中 将 发 送 512bit 数据 所 需 的 时 间 称 为 一 个 时 阶 slot time， 传 输 速 率 为 10Mbits 时 ， 时 阶 为 51.2 微 
秒 ) ， 每 个 时 际 都 可 以 发 送 数 据 ， 即 将 数据 所 代表 的 电气 信号 发 送 至 通信 对 方 的 主机 上 。 每 发 送 512bit 的 
数据 (64 个 字 节 ) 后 ， 如 果 没 有 冲突 就 表明 该 数据 帧 能 够 准确 无 误 地 到 达 对 方 主机 上 。 接 收 方 在 收 到 数 
据 帧 后 ， 确 认 前 64 个 字 节 ， 即 可 知道 转发 过 程 中 没有 发 生 冲 突 。 


| 


读 取 到 这 里 为 上 一 


目的 下 发 送 源 


8 字 节 6 字 节 46~1500 字 节 


图 2-10 碎片 隔离 交换 中 数据 帧 的 读 取 位 置 


在 以 太 网 中 发 生 的 通信 错误 大 多 由 于 冲突 导致 ， 因 此 碎片 隔离 确实 能 够 回避 大 部 分 错误 。 但 该 方式 并 不 读 
取 64bit 以 上 的 内 容 ， 这 使 得 当 数 据 帧 出 现 CRC 错误 时 ， 只 能 按照 和 直通 转发 一 样 的 方式 处 理 数据 帧 。 


采用 碎片 隔离 方式 在 10Mbit/s 的 以 太 网 中 约 有 70 微 秒 的 通信 时 延 ， 在 快速 以 太 网 中 的 通信 时 延 为 9 微 


与 直通 转发 一 样 ， 碎 片 隔 离 采 用 先进 先 出 的 方式 处 理 数据 帧 ， 通 信 速 率 不 同 的 以 太 网 网 段 之 间 无 法 进行 桥 
接 ， 目 前 也 几乎 不 再 使 用 。 


存储 转发 


在 存储 转发 方式 中 ， 设 备 会 在 读 取 数 据 帧 所 有 内 容 后 再 进行 转发 。 这 样 一 来 ， 该 方式 就 能 识别 出 残 帧 和 
CRC 校 验 错误 帧 ， 并 将 它们 及 时 丢弃 。 男 外 ， 设 备 还 能 对 所 有 的 数据 帧 进行 缓存 操作 ， 因 此 使 用 该 方式 
还 能 够 完成 不 同 速 率 以 太 网 段 的 桥接 工作 。 


该 方式 的 通信 时 延 与 接收 的 数据 帧 尺寸 有 密切 关系 ， 需 要 另外 加 上 从 65 微 秒 到 1.3 毫秒 之 间 不 等 的 通信 
or 采用 存储 转发 的 方式 在 10Mbit/s 以 太 网 中 的 通信 时 延 大 约 是 7 微 秒 ， 而 快速 以 太 网 中 大 约 是 3 微 


表 2-5 中 总 结 了 各 数据 帧 交换 方式 。 


表 2-5 交换 机 中 数据 帧 的 交换 方式 比较 


转发 前 读 取 的 字 节 数 通信 时 延 丢弃 错误 数据 帧 
直通 转发 14 字 节 最 短 无 
碎片 隔离 64 字 节 短 只 丢弃 残 帧 
存储 转发 全 部 最 长 全 章 


02.03.03 ” 自 适 应 交换 


根据 用 户 的 设置 ， 当 残 帧 和 CRC 错误 帧 的 数量 超过 一 定 益 值 时 ， 能 够 自动 变更 为 其 他 传输 数 方式 的 方 
式 ， 叫 做 自 适 应 交换 或 自 适应 直通 转发 \adaptive switching) 。 


使 用 该 方式 时 ， 通 常 采 用 直通 转发 传输 数据 帧 。 随 着 错误 数 不 断 累 加 ， 


据 帧 。 传 输 方式 改变 ， 错 误 帧 的 数量 也 减少 后 ， 则 再 度 切换 回 直通 转发 方式 。 自 适应 变换 这 些 动作 的 
是 将 传输 的 错误 帧 数量 以 及 通信 时 延 降 到 最 低 。 


02.04 ”全 双 工 和 半 双 工 
网 络 通信 方式 的 种 类 如 表 2-6 所 示 。 
表 2-6 通信 的 种 类 


三 


通信 的 种 类 说 明 
单 工 通信 类 似 于 电视 、 广 播 中 电磁 波 信号 的 传输 ， 一 般 为 固定 发 送 方 (电视台 、 广 播 站 ) 与 固定 接收 方 (接收 
(Simplex) 天 线 ) 之 间 的 通信 方式 ， 也 称 为 单 向 通信 


双 工 通信 (Duplex) | 通信 的 过 程 中 没有 明确 的 发 送 方 与 接收 方 ， 双 方 能 够 互 换 角色 的 通信 方式 


。 半 双 工 通信 (Half- | 类 
duplex) 


以 于 无 线 对 讲 机 的 通信 方式 ， 通 信 的 一 方 在 说 话 时 〈 信 号 发 送 时 ) ， 另 一 方 不 能 说 话 


全 双 工 通信 (Full- | 关 


以 于 电话 的 通信 方式 ， 通 信 的 一 方正 在 说 话 ， 另 一 方 也 可 以 说 话 


duplex) 


早期 的 以 太 网 (10BASE5 以 及 10BASE2) 采用 1 根 同 轴 电 缆 连 接 通信 双方 ， 使 用 CSMA/CD 的 技术 进行 
半 双 工 通 信 ， 但 有 时 会 发 生 冲突 。 在 10BASE-T 标准 中 ， 使 用 了 UTP 中 不 同 的 绞 线 对 来 发 送 与 接收 ， 这 
使得 进行 全 双 工 通信 变 为 可 能 。 


前 ， 几 乎 所 有 的 交 ] 疾 机 均 配备 了 10/100BASE-TX 和 10/100/1000BASE-T 标准 的 接口 ， 也 就 是 说 ， 这 些 
交换 机 不 仅 可 以 进行 全 双 工 通信 ， 而 且 还 支持 自 适应 功能 。 只 需 将 交换 机 的 双 工 通信 设置 项 设 定 为 auto， 
即 可 在 工作 中 通过 自 适 应 方式 自动 选择 最 佳 的 通信 种 类 。 双 工 通信 设置 项 是 设置 交换 机 通信 方式 的 选项 ， 
可 以 设置 为 半 双 工 通信 (half) 、 全 双 工 通信 (full) 和 自动 检测 (auto) 中 任意 一 种 方式 。 


O 


新 交换 机 在 与 只 支持 半 双 工 通 信 的 共 至 式 集线器 和 早期 交换 机 进行 连接 时 ， 需 要 将 网 络 接口 上 的 双 工 通信 
设置 项 设置 为 half， 即 采用 半 双 工 通信 。 而 如 果 设 备 出 现 自身 支持 全 双 工 通信 ， 但 自 适 应 功能 无 法 正常 


作 的 情况 ， 也 | 


设备 前 方 的 LED 


上 的 双 


司 样 需 要 再 次 将 网 络 接 


Mia NN :确认 


BUFFALD Um or 


上 在 采用 何 种 双 了 


通信 设置 项 设置 为 fall 才 行 。 
方式 的 交换 机 产 名 品 。 


图 2-11 展示 了 一 种 能 够 在 


图 2-11 LED 的 显示 会 根据 通信 速率 发 生变 化 的 交换 机 示例 (Buffalo 公司 的 LSW3-GTNSR 交换 机 ) 


LED 级 别 说 明 状态 
绿灯 亮 ， 建立 连接 
LINK/ACT (绿色 ) Link/Active 指 示 灯 ， 表示 端口 的 连接 状态 和 收发 状态 绿灯 闪烁 : 收发 数据 
灯 灭 ; 没有 建立 连接 
绿灯 亮 : 速率 为 1000M 
10/100/1000M 《〈 绿 色 / 楼 色 ) 速率 指示 灯 ， 表 示 数 据 传输 速率 橙色 灯亮 : 速率 为 100M 
灯 灭 : 速率 为 10M 
Loop 检 测 环 路 检测 指示 灯 ， 通知 检测 环 路 灯 闪 烁 : 检测 环 路 中 
交换 机 之 间或 交换 机 写 主 机 之 辣 会 出 现 应 答 延 迟 或 吞吐 率 低下 的 情况 ， 这 有 可 能 是 通信 双方 的 端口 速率 或 
双 工 方式 不 一 致 造成 的 。 比如 ， 通 信 的 友 将 双 工 通 通信 设置 项 设置 成 了 auto， 而 另 一 方 却 设置 成 了 其 他 选 
项 。 在 遇 到 这 类 情况 时 ， 观 察 网 络 接口 的 统计 信息 ， 会 发 现 残 帧 数量 或 VO 错误 数量 明显 上 升 。 
MDI-X 
个 人 计算 机 和 路 由 器 的 接口 称 为 MDI (Media Dependent Interface， 媒 介 相 关 接 口 ) ， 
接口 则 称 为 MDI-X (Media Dependent Interface Crossover， 交 叉 媒介 相关 接 。MDI 与 MDI-X 接口 连 
接 果 ， 需要 使 用 直通 线 绕 。MDI 之 间 相 互 连 接 或 MDI-X 之 间 相 互 连接 时 则 需要 使 用 交叉 线 缆 。 
前 使 用 的 交换 机 或 集线器 均 带 有 自动 识别 MDI 与 MDI-X， 并 切换 不 同 电气 信号 的 功能 ， 该 功能 称 为 
Auto-MDIX (Automatic Medium-Dependent Interface Crossover， 自 适应 网 线 类 型 ) 功能 。 
多 数 个 人 计算 机 的 网 络 接口 也 搭载 了 Auto-MDIX 功能 。 这 就 使 得 在 通信 的 两 台 计 算 机 之 间 ， 只 需 一 方 拱 
载 该 功能 或 两 方 的 网 络 接口 均 搭 载 该 功能 ， 即 可 任意 使 j 直 连 线 缆 或 交叉 线 缆 进 行 连接 到。 
|* 这 也 是 当前 工程 上 使 用 反 跳 网 线 在 两 台 计算 机 之 间 进 行 互联 的 原理 。 一 一 译 者 注 
Catalyst 2 2960-S Series 10G 
图 2-12 思科 公司 的 Catalyst 交换 机 面板 标签 


区 | 


如 
接口 
大 


2-12 所 示 ， 
的 类 型 为 MDI-X。 
此 这 一 标记 并 没有 什么 实际 意义 。 
X 与 MDI 的 区 别 逐 


思科 公司 


{ 


Catalyst 交换 机 的 端 
二 Catalyst 交换 相 


口 在 网 络 接口 编号 标签 上 标记 了 X 记号 ， 这 就 表 示 该 网 络 
儿 本 身 也 搭载 了 Auto-MDIX 功能 ， 而 且 该 功能 为 缺 省 设置 


于 现在 越 来 越 多 的 ~、 商 均 默 认 支 持 Auto-MDIX， 使 得 


MID- 


ZE4 租 


簿 渐变 


本 


模糊 ， 因 


此 xX 标 ; 


已 几乎 也 不 再 使 用 


02.05 ”如 何 描述 交换 机 的 处 理 能 力 


交换 机 的 处 理 


能 力也 称 为 


的 


Gbit/s? 


懈 式 来 


苗 述 处 


| 


< 换 机 容 


外 入 应 


站 


| 
人 


时 


| 
y| 


奥 结 构 。 


量 单位 为 bit/s 


整个 交换 结构 (switching fabric, 
日 塞 non-blocking) 
换 结构 容量 时 ， 则 称 为 该 交换 结 


二 


区 式 ， 


比特 每 秒 


backplane) 容量 


有 的 产品 说 明 还 会 用 “交换 结构 为 xx 


或 交换 机 容量 ， 


下越 大 ， 表 明 交 换 机 在 单位 时 间 内 所 传输 的 数据 越 多 。 


去 


交换 机 只 有 快速 上 


太 了 网 归 


Cr 


换 机 为 例 ， 


六 


梧 


样 ， 对 于 千 兆 以 太 网 端口 
换 机 的 处 理 能 力 和 在 


LU 


i 


即 带宽 


换 结 构 的 容量 时 ， 整 个 交换 结构 表现 为 


合 蛙 
青 况 。 反 之 ， 当 所 有 端口 总 带宽 超过 该 


用人 


该 交 


理 的 


师 带宽 小 


充裕 ， 没 有 等 待 


构 过 载 (over subscription) 。 
如 果 处 理 


能 力 达 到 端口 数 x2x100Mbits 的 数值 ， 就 可 以 称 之 为 非 阻 塞 


示 上 行 与 下 行 均 为 采 


如 果 


+ 背 板 


容量 达到 8 


100Mbitys 的 全 双 工 通信 。 以 一 台 有 8 个 端口 的 快速 以 太 网 
1600Mbit/s， 即 达到 1.6Gbit/s 就 可 将 其 视 为 非 阻塞 。 


x2x100= 


线 卡 


控制 
DER 
i | 
[Wd | 


整个 交 


山 


口 ， 


[Evag 


物理 接口 


图 2-13 交换 结构 与 背 板 概念 图 


由 于 总 线 速 率 
处 理 
了 Jy 


有 


块 1 秒 内 
说 明 


除 


〈 背 板 容 上 


数 和 
说 明 交 换 


帧 ) 


ES 


a 位 则 使 


只 要 处 理 能 力 达 到 
换 机 系统 内 音 


口 数 x2x1Gbit/s 的 数值 ， 即 可 将 其 视 为 非 阻塞 。 


理 数 据 的 传输 总 线 速度 有 着 密切 关系 (图 2- 


口 


端 


路 处 


部 、 各 个 回 


交换 结构 卡 


[| a” 
| 
= = 


;> 内 能 够 处 理 的 bit 量 ， 因 此 如 果 交 换 机 内 


部 的 控制 处 理 器 等 其 他 模 


无 法 获得 与 ， 致 的 传输 速率 。 因 此 ， 在 交换 机 产品 规格 


结构 容量 或 背 板 容量 外 ， 


会 说 明 L2 能 够 桥接 的 分 组 数 (这 里 的 分 组 是 指数 据 


02.06 ”交换 机 如 何 分 类 
02.06.01 ”按照 交换 机 的 功能 分 类 


交换 机 按 功 能 可 以 分 为 L2 交换 机 和 工 3 交换 机 


L2 交换 机 


没有 IP 路 


表 2-7 所 示 


的 几 


功能 和 仅 处 理 


数据 链 路 


分 类 。 


pps (packet per second) > 。 


大 类 。 


层 的 交换 机 称 为 L2 交换 机 。 根 据 L2 交换 机 搭载 功能 的 不 同 ， 还 有 如 


表 2-7 12 交换 机 的 分 类 


种 类 说 明 


智能 交换 机 (Smart Switch) 拥有 VLAN、QoS、 认 证 等 功能 的 交换 机 


Web 智能 交换 机 (Web Smart 
Switch) 


带 有 Web 管理 界面 、 


能 够 通过 Web 浏览 器 进行 访问 并 设置 管理 的 智能 交换 机 


具有 SNMP 引 警 功能 ， 能 够 远程 管理 的 交换 机 。 没 有 这 个 功能 的 交换 机 则 称 为 非 智 慧 型 
交 


智慧 型 交换 机 (Intelligent Switch) 换 机 


带 有 了 IP 路 由 功能 的 交换 机 称 为 L3 交换 机 。 关 于 L3 交换 机 的 功能 请 详细 参考 本 书 第 4 章 。 
02.06.02 ”按照 设备 外 形 分 类 
桌面 式 交换 机 


顾名思义 ， 桌 面 式 交换 机 是 指 放 置 在 桌面 上 使 用 的 交换 机 。 该 类 交换 机 一 般 只 能 连接 几 台 网 络 设备 ， 通 常 
于 连接 家 庭 个 人 计算 机 或 办 公 室 中 成 岛 型 分 布 的 台式 计算 机 等 ， 也 被 称 为 岛 型 集线器 或 边缘 交换 机 。 


市 场 上 销售 的 桌面 式 交 换 机 主要 是 3 端口 、5 端口 、8 端口 、16 端口 和 24 端口 的 产品 。 
设备 的 外 党 分 为 塑料 外 壳 和 金属 外 这 两 种 。 


塑料 外 壳 的 交换 机 重量 轻 、 价 格 便宜 ， 但 考虑 到 散热 区 
的 形式 。 


金属 外 壳 的 交换 机 内 部 忆 片 的 散热 性 较 好 ， 几 乎 都 采用 内 置 电源 。 
交换 机 电源 也 分 为 内 置 和 外 置 两 种 。 


内 置 电源 一 般 在 设备 上 配 有 AC 连接 头 ， 使 用 对 应 的 电源 线 线 连 接 揪 座 即 可 供电 。 尽 管 使 用 AC 连接 头 的 
硬件 与 其 他 硬件 相 比 分 量 较 重 ， 但 该 类 电源 也 有 因为 电源 线 绕 难 以 拨 出 而 使 插座 周围 较为 整洁 的 优点 。 


股 使 用 AC 电源 适配器 ， 也 有 通过 USB 供电 的 。 能 够 通过 USB 供电 的 设备 即便 没有 外 部 电源 
能 直接 通过 USB 接口 从 笔记 本 电脑 获取 电源 。 一 般 可 以 将 采用 外 置 电源 的 硬件 的 构造 设计 得 非 
常 紧密 ， 桌 面 式 交换 机 使 用 的 AC 电源 适配器 是 类 似 于 手机 充电 器 的 小 型 交换 AC 适配器 (这 里 的 交换 不 
是 网 路 术语 ， 而 是 指 电路 中 的 整流 方式 ) ， 因 此 体积 不 会 太 大 。 
桌面 式 的 交换 机 一 般 不 安装 额外 的 风扇 ， 均 采用 无 风扇 设计 ， 运 行 噪声 较 小 。 
该 类 中 某 些 型 号 的 交换 机 外 壳 上 还 会 带 有 用 来 挂 在 墙 上 的 挂 孔 ， 或 用 来 贴 在 金属 桌面 上 的 磁 贴 。 
几 


该 类 交换 机 的 价格 在 数 千 日 元 到 数 万 日 元 〈 几 百 元 至 上 于 元 人 民 币 ) 不 等 。 


端口 数 最 多 为 16， 电 源 也 一 般 采 用 外 接 电源 


+ 
测 
已 
1 


: J 
二 一 一 也 导 时 时 轩辕 时 圭 


图 2-14 桌面 式 交换 机 
移动 插座 式 交换 机 
移动 插座 式 交 换 机 是 指 和 移动 插座 〈 拥 有 多 个 插口 和 延长 线 的 排 插 ) 外观 很 像 的 一 利 


交换 机 。 。 背 


部 还 配 有 磁 贴 ， 可 以 贴 在 办 公 桌 的 表面 上 。 一 般 采 用 无 风扇 散热 、 塑 料 外 壳 以 及 内 置 
优点 是 外 部 布线 很 容易 整理 ， 通 过 LED 能 够 清楚 得 知 工作 状态 。 前 移动 插 司 式 交换 机 通常 常 是 8 端口 的 


硬件 配置 。 


图 2-15 ”移动 插座 式 交 换 机 (Corega CG-SW08TXTAPR) 
箱 式 交换 机 
箱 式 交换 机 能 够 安装 在 19 英寸 机 架 上 ， 一 般 高 度 为 1U 或 2U5 。 


| 15 1U 或 2U 的 意思 请 参考 01.05 节 。 


该 类 交换 机 一 般 采用 金属 外 充 及 内 置 电源 ， 并 配 有 冷却 风 启 。 


(10/100/1000BASE-T) 


该 类 交换 机 以 下 行 24 端口 (10/100BASE-TX) 或 48 端 


太 网 ) 或 4 端口 (万 兆 以 太 网 ) 的 配置 大 多。 其 下 行使 用 RJ-45 的 铜 线 接口 ， 了 上 和 信用 


SFP/SFP+ 槽 进行 连接 。 
这 类 交换 机 多 在 企业 中 作为 为 接 入 交换 机 使 用 ， 并 支持 电源 见 余 。 表 2-8 介绍 了 主 ; 


表 2-8 主流 的 箱 式 交换 机 16 


56 这 里 介绍 的 交换 机 仅 指 日 本 市 场 上 的 产品 ， 全 球 主流 交换 机 还 有 很 多 。 一 一 译 者 注 


制造 商 、 
产品 型 号 


说 明 


照片 


Cisco 
Catalyst 
2960 系 列 


背 板 容量 有 16、 
32、88Gbit/s 这 几 
个 类 型 ， 最 大 
MAC 地 址 数 为 
8000; 最 多 支持 
255 个 VLAN; 有 


史 注 6 5S 坦 艺 
a 
由 - 
过 
过 
mh 
[eu 


> 


吾 
i 


的 LAN Base 
个 类 型 


ERTRTOORE ES 


Cisco 
Catalyst 
2360 系 列 


1 


背 板 容量 为 
88Gbit/s; 最 大 
MAC 地 址 数 为 
8000; 最 多 支持 
128 个 VLAN; 48 
全 
10/100/1000BASE- 
TI 端口 与 4 个 SFP+ 
(万 兆 ) 端口 ; 操 
作 系 统 为 IJOS 


D-Link 
DGS-3120 
系列 13 


背 板 容量 在 
88~136Gbit/s 之 

间 ; 最 大 MAC 地 
址 数 为 16000; 最 
多 支持 4094 个 
VLAN (其 中 动态 
VLAN 为 255 

个 ) ; 配 有 8、 
24、48 的 
10/100/1000BASE- 
T 端 口 以 及 4 个 


能 受 限 的 SI 和 全 
能 的 EI 


tl 
过 过 也 


立 电线 


背 板 容量 在 
5.6~36Gbit/s 之 

间 ; 最 大 MAC 地 
止 数 为 8000; 最 多 


Apresia 
Light 系 列 


支持 4000 个 
VLAN; 支持 8、 
16、24 个 下 行 端 
以 及 2 或 4 个 SFP 端 


制造 商 、 ; 
产品 型 号 说 明 Mr 
背 板 容量 在 
56~104Gbit/s; 最 
大 MAC 地 址 数 为 
Juniper 16000; 最 多 支持 
Networks ”|1024 个 VLAN; 支 
EX2200 持 24、48 个 
10/100/1000BASE- 
T 端 口 以 及 4 个 SFP 
端口 
背 板 容量 为 
8.8Gbit/s; 了 到 
人 MAC 地 址 数 为 
etworks 一 二 
AX1200S | 16384; 最 多 支持 
系列 256 个 VLAN; 支 
2 村 24、48 个 下 行 端 
口 与 4 个 上 行 端 


ug “nl (Power O 
能 为 此 类 


| 18 D-Link 为 友 讯 集团 的 商标 ， 共 


ver Ethernet) 指 的 是 在 现 有 的 以 太 网 布线 基础 架构 不 作 牺 
设备 提供 直流 供电 的 技术 。 译 者 注 
成 立 于 1986 年 。 一 一 译 者 注 


机 框 式 交 换 机 


机 框 式 交换 机 是 指 在 机 框 内 (chassis) 组 合 多 个 接 


择 端 口 数 和 不 同类 型 的 


在 机 框 中 可 以 放置 ! 
成 了 机 框 式 交 换 机 供用 户 


J 


祝 


。 线 卡 (line card) 


可 以 插入 机 框 插 模 的 接 


接口 模块 ， 扩 展 性 


、 


o 


E 何 改动 的 情况 下 ， 


在 为 一 


些 基 


FIP 的 终端 在 传输 数据 信号 


的 同时 ， 


整体 便 组 


模块 进行 工作 的 交换 机 。 该 类 交换 机 可 以 根据 需要 选 
非常 好 。 
交换 结构 等 交换 机 组 成 部 分 ， 再 插入 管理 模块 与 接口 模块 ， 这 
表 2-9 列举 了 主要 的 一 些 机 框 式 交换 机 的 产品 。 


。 背 板 (back plane) 


机 框 上 构成 总 线 的 3 
表 2-9 主流 的 机 框 式 交换 机 


元 模块 或 管理 单元 模块 


FE 板 ， 配 有 能 


够 插入 线 卡 的 连接 


0 


厂商 、 产 
品 信号 


说 明 


照片 


厂商 、 产 、 
品 信号 说 明 照片 
有 3 槽 、6 槽 、7 槽 、10 槽 四 种 机 框 。 线 卡 也 根据 播 槽 不 同 支持 
Cisco 6Gbit/s、24Gbit/s、48Gbit/s。 核 心 管理 模块 称 为 Supervisor 
Catalyst Engine， 人 负责 处 理 VLAN、 生 成 树 、Ether Channell” 、 巨 型 帧 、L3 
4500 系 列 “| 交换 等 。 可 以 通过 插入 两 个 Supervisor Engine 模 块 达 到 管理 元 余 的 
的 。 操 作 系 统 为 IOS 
有 3 槽 、4 槽 、6 槽 、9 槽 、13 模 五 种 机 框 。 其 中 9 槽 机 框 中 型 号 为 
Er 6509-NEB 的 机 框 采 用 扩展 模块 纵向 插入 的 结构 ， 其 余 则 采用 横向 
i 插入 结构 。 管 理 模 块 和 Catalyst 4500 一 样 管理 模块 称 为 Supervisor 
6500 亲 列 Engine。 操 作 系统 采用 IOS 或 者 CatOS20 。Supervisor Engine 2T 每 
个 插 槽 的 最 大 交换 容量 为 80Gbit/s。 在 6509 中 支持 最 多 130 个 端 
的 万 兆 以 太 网 吞吐 
Catalyst 6506 
ALAXALA | 有 2 槽 的 AX7804S、4 槽 的 AX7808S、8 槽 的 AX7816S 三 个 型 号 。 最 
Networks ”| 大 支持 768Gbit/s 的 本 地 交换 容量 ， 最 大 支持 384Gbit/s 的 背 板 交换 
0 容量 。 最 多 支持 384 个 端口 的 千 兆 以 太 网 以 及 32 个 端口 的 万 兆 以 太 
系列 网 
AX7808S 


厂商 、 产 
品 信号 


说 明 


照片 


Juniper 
Networks 
EX8200 


| 加 将 多 条 链 路 捆绑 


| 20 CatOS 来 源 于 思 


端口 价格 


在 交换 机 中 还 有 个 各 为 “ 端 


为 Junos。 有 线 卡 可 选择 48 端 口 的 10/100/1000BASE-T、48 端 
1000BASE-X (SFP) 、8 端 口 10GBASE-X (SFP+) 、40 端 口 的 
10GBASE-X (SFP+) 这 几 类 


聚合 成 一 条 逻辑 链 路 的 技术 。 一 一 译 者 注 


有 8 槽 的 EX8206、16 槽 的 EX8216 两 个 型 号 。EX8216 最 多 支持 768 
个 千 兆 以 太 网 端口 和 128 个 万 兆 以 太 网 端口 的 线 速 处 理 。 操 作 系统 


EX8206 


科 收 购 的 Crescendo 通信 公司 开发 的 XDI 操作 系统 ， 逐 步 被 思科 


己 开发 IOS 进行 替代 或 并 用 。 译 者 注 


每 个 端口 的 价 忆 
比较 。 


到 2012 年 8 月 


Qt 


当 因 模块 的 不 同 而 搭载 端口 的 数目 也 不 同时 ， 


为 止 ， pd 


价格 ”的 指标 。 该 指标 是 根据 交换 机 硬件 或 端口 模块 的 总 价 和 端口 数 计算 出 的 


能 够 通过 端口 价格 指标 进行 产品 间 的 横向 


对 于 快速 以 太 网 、 千 兆 以 太 网 、 万 兆 以 太 网 而 言 ， 随 着 速率 的 上 升 ， 其 对 应 的 端口 价格 也 随 之 提高 。 
此 界 上 第 一 台 以 太 网 交换 机 EtherSwitch 的 端口 价格 (10BASE-T) 为 1500 美元 。 


> 
一 


口 价格 ， 快 速 以 太 网 的 约 为 几 百 日 元 左 


千 兆 以 太 网 的 约 为 500 右 ( 约 合 人 民 币 30 元 ) 。 另 外 企业 使 用 的 箱 式 以 及 机 框 式 交换 机 ， 根 


口 ， 
四 种 类 和 构造 的 不 同 ， 端 口 后 入 弛 二 日 元 至 数 十 万 日 元 不 等 ， 


跨度 非常 大 。 


图 2-16 端口 价格 (厂商 建议 零售 价 ) 为 280 日 元 的 低 端 交 换 机 (快速 以 太 网 ) 日 本 Logitec 公司 的 
LAN-SW05/PH 


及 

uFFALD aul FT | 

Wi 有 ACT | 
A 上 


图 2-17 端口 价格 (厂商 建议 零售 价 ) 为 660 日 元 的 中 低 端 交换 机 (快速 以 太 网 ) Buffalo 公司 的 LSW4- 


GI-8EP/WH 


02.06.03 ”根据 用 途 分 类 


根据 思科 公司 倡导 的 3 层 模 型 4 ， 交 换 机 还 可 以 根据 其 在 网 络 中 所 处 的 位 置 和 用 途 分 类 ， 具 体 如 表 2-10 


所 示 。 


度 进行 的 网 络 分 类 ， 分 为 接 入 层 (Access Layer) 、 分 布 层 


二 


21 该 分 层 模 型 是 从 使 用 思科 公司 网 络 产品 进行 布 网 的 角 
心 层 (Core Layer) 。 译 者 注 


表 2-10 根据 分 层 模型 对 交换 机 进行 分 类 


(Distribution Layer) 和 核 


名 称 说 明 


核心 交换 机 ”| 通过 管理 


作为 骨干 网 络 的 汇 珍 层 交换 机 来 完成 高 速 交换 任务 的 交换 机 。 当 企 业 网 络 分 布 在 多 个 楼 宇 中 时 ， 通 


(核心 层 ) 使 用 L2 交 换 机 ， 也 可 以 使 用 L3 交 


汇聚 交换 机 “| 汇聚 接 入 交换 机 的 交换 机 ， 也 可 以 称 为 分 布 交 换 机 。 使 用 L3 交 换 机 完成 VLAN 之 间 的 交换 。 
(汇聚 层 ) 该 层 ， 仅 使 用 核心 层 和 接 入 层 构 建 网 络 


过 汇聚 交换 机 将 接 入 交换 机 以 楼 层 为 单位 集中 ， 最 终 通过 楼 宇 间 的 核心 交换 机 完成 高 速 交 换 。 核 心 交换 机 可 
父 


有 了 时 也 可 以 省 去 


( 接 入 层 ) 、 | 机 。 使 用 Pog 和 QoS” 技 术 。VLAN 在 接 入 个 人 计算 机 的 下 行 端口 中 进行 分 割 ， 成 为 通 前往 汇 
边缘 交换 机 奥 机 传输 链 路 的 干线 (trunk) 


接 入 交换 机 直接 连接 用 户 的 个 人 计算 机 、IP 电 话机 等 终端 的 交换 机 。 一 般配 置 在 企业 的 各 个 楼 层 中 ， 也 称 为 楼 层 交 换 
聚 交 换 机 和 核心 交 


| 22 Quality of Service， 服 务 质量 控制 ， 指 该 交换 拥有 控制 服务 质量 的 能 力 。 一 一 译 者 注 


ED 人 


A 


图 2-18 交换 机 的 分 层 模型 
02.07 成 为 交换 机 性 能 指标 的 端口 种 类 与 数量 


一 台 交 换 机 的 端口 数目 越 多 ， 不 仅 交 换 机 能 连接 的 硬件 会 增加 ， 而 且 交 换 机 的 背 板 容量 也 会 随 之 增 大 。 医 
此 在 功能 相同 的 产品 系列 中 ， 端 口 数目 越 多 的 型 号 ， 价 格 也 就 越 贵 。 


端口 数目 越 多 ， 非 阻塞 的 背 板 容量 也 会 随 之 变 大 。 男 外 ， 由 于 外 部 连接 的 硬件 数目 也 会 增加 ， 因 此 需要 注 
意 在 选 则 交换 机 设备 时 查看 设备 的 MAC 地 址 数 是 否 足够 。 


02.07.01 ”快速 以 太 网 (10/100) 端口 


在 桌面 式 交换 机 和 低 端 箱 式 交换 机 中 有 的 只 配备 了 该 类 端口 ， 也 有 的 为 了 用 于 连接 下 行 链 路 配置 了 多 个 该 
类 端口 。 快 速 以 太 网 (10/100) 端口 使 用 RJ-45 形状 的 接口 ， 使 用 3 类 或 5 类 以 上 的 双 绞 线 。 由 于 目前 
Auto-MDIX 功能 已 经 成 为 主流 交换 机 的 标 配 ， 因 此 无 需 关注 是 直 连 线 还 是 双 绞 线 ， 但 若是 老式 交换 机 ， 
万 需 注意 双 绞 线 的 类 型 。 因 为 传输 线 缆 使 用 的 是 铜 线 ， 所 以 该 类 端口 和 千 兆 以 太 网 端口 都 可 以 被 称 为 铜 端 
口 (Copper port) ， 也 可 简称 为 铜 口 (Copper) 。 


02.07.02“ 千 兆 以 太 网 端口 〈10/100/1000) 端口 
前 市 场 上 销售 的 交换 机 ， 除 了 一 部 分 桌面 式 交 换 机 或 低 端 箱 式 交换 机 外 ， 还 有 一 部 分 产品 配备 了 RJ-45 
区 状 的 千 兆 以 太 网 接口 。 通 过 自 适 应 功能 ， 该 端口 同样 可 以 连接 10BASE-T (以 太 网 ) 或 10/100BASE-TX 
(快速 以 太 网 ) 。 不 过 在 连接 千 兆 以 太 网 时 ， 需 要 使 用 增强 型 5 类 双 绞 线 。 
02.07.03 ”光纤 专用 端口 (SFP/SFP+) 
在 箱 式 以 上 规格 的 交换 机 上 会 配备 光纤 专用 端口 ， 主 要 用 于 连接 上 行 链 路 。 这 个 端口 也 可 以 称 作 光电 转换 
接口 ， 名 为 构 (slot) 的 转换 器 插入 口 是 一 个 物理 接口 ， 在 这 个 接口 插入 可 与 交换 机 匹配 的 转换 器 即 可 。 
有 关 转 换 器 的 详细 内 容 可 以 参考 01.04 节 。 


在 箱 式 交 换 机 中 为 了 连接 千 兆 以 太 网 的 上 行 链 路 通常 都 会 搭载 SFP (mini-GBIC) 转换 器 接口 ， 不 过 较 老 
的 交换 机 型 号 也 有 搭载 GBIC 接口 的 情况 。 


机 框 式 交 换 机 中 一 般 会 使 用 配备 了 多 个 千 兆 以 太 网 SFP 或 GBIC 接口 的 接口 卡 ， 也 有 使 用 配备 了 万 兆 以 太 
网 XENPAK、XFP 或 SFP+ 接口 的 接口 卡 ， 也 就 是 说 在 一 块 接口 卡 中 存在 多 个 相同 标准 的 转换 器 槽 。 


需要 注意 


是 ， 即 使 是 相同 标 ; 


意 的 的 转换 器 (如 SFP) 
不 同 ， 导 致 具体 的 端口 


产品 有 所 差异 (例如 ， 端 口 是 使 


等 ) 。 


02.07.04 PoE 端口 


LAN 接 入 点 ， 


有 的 交换 机 还 会 配 有 PoE (Power over Ethernet) 端口 。 该 类 端 
二 


并 通过 该 线 缆 对 1 


的 技术 ， 也 可 称 为 线 内 


有 用 进行 供 已 ° 这 个 功能 源 
不 (in-line power) 技术 。 


股 的 家 用 电话 通过 RJ- i 接 [ 


| | 


里 赴 


晶 电 话 和 FAX 电话 仍 需 


电话 线 从 电话 交换 机 3 得 
娄 电 源 )。 与 此 类 似 ， 为 了 使 忆 电 


AS 


3 这 里 的 交换 机 指 市 话 电 信和 网络 中 的 


， 也 有 可 能 会 因为 使 的 光纤 线 线 类 型 或 传输 距离 的 
1000BASE-SX 标准 还 是 1000BASE-LX 标准 


二 


使 用 


太 网 线 缆 连 接 IP 电 话 设备 或 无 线 


思科 公司 在 2000 年 开 发 的 面向 IP 电话 供电 


到 的 流 供 电源 (无 


， 通 过 以 太 网 线 线 给 下 


在 开发 PoE 技术 的 同时 ， 
接 入 点 进行 供电 。 无 线 接 入 点 在 


话 提供 48V 直流 电 的 技术 便 是 PoE A 
空 交换 机 。 一 一 译 者 注 


无 线 LAN 标准 化 的 了 


[ 作 也 逐渐 完成 了 ， 这 就 使 得 PoE 同样 可 以 为 无 线 LAN 的 


办 公 室 的 天 人 花 板 、 墙 


术 ， 即 使 周边 没有 


EE 源 的 接 入 点 ， 


壁 等 处 都 可 以 设 
通过 一 根 以 志 网 线 缆 也 可 以 解决 供电 问题 。 


于 


供电 难度 很 高 ， 但 通过 PoE 技 


PoE 技术 作为 IEEE 802.3af 在 2003 年 完成 了 标准 化 工作 ， 从 此 该 技术 同样 可 以 应 用 于 网 络 照 相机 、POS 


终端 、IC 卡 终端 等 连接 以 太 网 的 硬件 设 


PoE (EEE 802.3af) 与 PoE+ (IEEE 802.3at) 


IEEE 802.3af 如 表 2-11 所 示 ， 定 义 了 5 个 电能 级 别 ， 可 以 根据 电阻 值 判断 用 电 设备 属于 哪个 级 别 。 交 换 机 
会 计算 用 电 设 备 所 需 的 最 大 电能 。 
当 交 换 机 不 支持 电能 级 可 选 级 时 ， 会 使 用 默认 级 0 级 。 
可 选 级 4 在 IEEE 802.3at 中 被 重新 定义 ， 也 可 称 为 PoE+。 
表 2-11 IEEE802.3af 电能 级 别 
电能 级 别 最 大 直流 供电 电能 补充 

0 15.4W 默认 级 

和 4.0W 可 选 级 

> 7.0W 可 选 级 

3 15.4W 可 选 级 

4 最 大 50W 可 选 级 (IEEE 802.3at) 。 超 5 类 以 上 UTP 线 缆 


表 2-12 比较 PoE 与 PoE+ 


IEEE 802.3af (PoE) 


IEEE 802.3at (PoE+) 


直流 电源 的 电压 范围 


44V~57V 


50V~57V 


IEEE 802.3af (PoE) IEEE 802.3at (PoE+) 


供电 电流 10mA~350mA 10mA~600mA 
最 大 供电 电能 15.4W 34.2W 
使 用 线 缆 3 类 以 上 UTP 线 缆 超 5 类 UTP 线 缆 


支持 PoE 功能 的 交换 机 一 般 都 会 在 产品 规格 说 明 书 中 指明 “每 个 端口 最 大 支持 xxW， 设 备 最 大 供电 xW” 等 
可 供给 的 电能 信息 。 在 连接 具体 用 电 硬 件 时 ， 需 要 参考 此 说 明 考 虑 交换 机 的 实际 负载 能 力 。 


02.07.05 ”上行 链 路 端口 数 


搂 人 交换 机 > 汇聚 交换 机 需要 汇聚 下 行 连接 的 所 有 主机 流量 ， RE 
关 之 中 ， 而 在 这 个 网 络 拓扑 中 用 于 向 核心 交换 机 、 网 关 传输 流量 的 链 路 端口 就 叫做 上 行 链 路 端口 (反方 向 
出生 做 直行 血 路 端口 ) 。 上 行 链 路 端口 原本 用 于 集线器 的 级 联 。 在 箱 式 交换 机 中 一 般 会 配备 2~4 个 千 兆 以 
太 网 或 万 兆 以 太 网 的 上 行 链 路 端口 。 比 如 ， 一 台 拥 有 24 个 下 行 链 路 端口 的 快速 以 太 网 交换 机 ， 上 行 速率 
必须 达到 2.4Gbivs 才能 进行 非 阻塞 ( 即 不 发 生 等 待 延迟 ) 的 下 行 至 上 行 的 通信 。 这 样 一 来 ， 交 换 机 就 需 
要 配备 3 个 以 上 千 兆 以 太 网 端口 或 1 个 以 上 的 万 兆 以 太 网 端口 才能 达到 预期 的 通信 效果 。 但 由 于 带 有 非 阻 
塞 功能 的 交换 机 硬件 费用 很 高 ， 从 降低 成 本 角度 考虑 。 实 际 中 也 会 使 用 仅 有 两 个 千 兆 以 太 网 端口 的 交换 机 


型 号 。 


图 2-19 ” 箱 式 交换 机 的 上 行 链 路 端口 与 下 行 链 路 端口 示例 (以 Cisco Catalyst 2960S-48TD-L 为 例 ) 
02.07.06 下 行 链 路 端口 数 
下 行 链 路 所 使 用 的 端口 几乎 都 是 铜 口 ， 也 就 是 RJ-45 标准 的 以 太 网 接口 。 在 核心 交换 机 或 服务 供应 商 的 网 


络 交 换 机 中 也有 使 用 光纤 接口 作为 下 行 细 路 的 虹口 但 是 一 般 这 类 交换 机 均 采用 机 框 式 交 换 机 (图 2- 
20) 。 


图 2-20 思科 公司 的 48 端口 光纤 接口 (SFP) 模块 卡 WS-X6748-SFP (机 框 式 交换 机 的 接口 模块 卡 ) 


桌面 式 交 换 机 的 下 行 端口 一 般 从 4 端口 至 24 端口 不 等 ， 箱 式 交 换 机 下 行 端口 数目 一 般 在 12~48 个 之 间 。 
机 框 式 交 换 机 中 ，1 个 接口 模块 卡 中 能 够 提供 48 个 铜 接口 或 8~48 个 光纤 接口 。 


图 2-21 思科 公司 48 端口 铜 接口 模块 卡 WS-GE-45AF (机 框 式 交 换 机 的 接口 模块 卡 ) 


02.07.07 ”交换 机 堆 释 


过 堆 芭 (Stack) 线 缆 能 够 将 多 台 交 换 机 进行 外 部 连接 ， 使 多 台 箱 式 交 换 机 在 网 络 中 成 为 一 台 逻 辑 交 换 
使 用 。 交换 机 堆 释 可 以 通过 使 用 堆 释 专用 端口 或 10GBASE-CX 等 同 轴线 缆 高 速 连接 多 台 交 换 机 来 实 
现 。 


思科 公司 的 Catalyst 2960 系列 交换 机 通过 自 带 的 FlexStack 功能 ， 最 多 可 以 将 4 台 交 换 机 进行 堆肥 连接 。 。 
Catalyst 3750 系列 交换 机 则 通过 自 带 的 StackWise Plus 功能 ， 最 多 可 将 9 台 设 备 进行 堆 释 连接 。 另外 ， 
科 公 司 的 Catalyst 6500 系列 交换 机 使 用 VSS (Virtual Switching System， 虚 拟 交换 系统 ) 功能 庄 哆 省 


台 物 理 的 交换 机 虚拟 成 1 台 逻 辑 交 换 机 使 用 。 


将 多 台 交 换 机 虚拟 为 一 台 逻 辑 交 换 机 的 功能 在 不 同 公司 有 不 同 的 叫 法 ，Juniper 公司 称 之 为 虚拟 机 框 系统 
(VCS，Virtual Chassis System) 、 博 科 通 信和 系统 公司 称 之 为 虚拟 艇 交换 (VCS，Virtual Cluster 


Switching) 、 安 奈 特 网 络 公司 所 称 之 为 虚拟 机 框 堆 和 (VCS，Virtual Chassis Stacking) ， 最 后 H3C 技术 
公司 瑟 则 称 之 为 智能 弹性 架构 (IRF，Intelligent Resilient Framework) 。 


车 向 


让 


|** 英 文 为 Allied Telesis， 成 立 于 日 本 的 一 家 交换 机 路 由 器 生产 厂商 。- 译 者 注 


| 3 即 华 三 技术 公司 ， 由 原来 中 国 的 华为 技术 公司 和 美国 的 3COM 公司 合资 成 立 ， 现 为 HP 旗下 全 资 子 公司 。 一 一 译 者 注 


图 2-22 Cisco Catalyst 3750 交换 机 的 StackWise 端口 和 专用 线 缆 


02.08 ”交换 机 搭载 的 其 他 功能 
这 节 在 比较 交换 机 产品 的 基 而 上， 说 明 交 换 机 产品 规格 说 明 书 【Catalog Specification) 中 措 这 的 相关 功 


02.08.01 MAC 地 址 数 


在 规格 说 明 书 中 记载 的 “MAC 地 址 数 ” 是 指 1 台 交换 机 能 够 学 习 到 的 MAC 地 址 表 的 实体 总 数 。 一 般 来 
说 ， 小 型 交换 机 的 数目 在 1000 至 10000 之 间 ， 而 Catalyst 6500 中 的 Supervisor Engine 720 能 够 达到 96000 
个 实体 数 。 


02.08.02 ”巨型 帧 


在 普通 的 以 太 网 交换 中 ，MTU (Maximum Transmit Unit， 最 大 传输 单元 ) 尺寸 为 1500 个 字 节 。 但 某 些 通 
过 VLAN 封装 后 的 以 太 网 帧 格式 会 增 大 到 1600 个 字 节 ， 此 时 将 这 类 数据 帧 称 为 小 巨人 帆 (baby giant) 。 
有 时 为 了 提高 传输 效率 ， 以 太 网 帧 格式 的 有 效 载荷 会 变 得 更 大 ， 这 时 将 这 类 帧 称 为 巨型 帧 (jumbo 


frame 


Cisco Catalyst 产品 最 大 可 以 支持 9216 个 字 节 的 巨型 帧 ， 并 且 可 以 通过 设置 调整 交换 机 文 持 的 巨型 帧 矿 才 
上 限 。 


LU 


02.08.03 ”生成 树 功能 
桥接 环 与 广播 风暴 


如 图 2-23 中 的 网 络 拓扑 1 所 示 ， 当 交 换 机 用 于 两 个 网 段 中 继 时 ， 如 果 该 交换 机 发 生 故 障 ， 那 么 两 个 网 段 
之 间 的 通信 就 会 中 断 。 人 青 况 的 发 生 ， 需 要 像 网 路 拓扑 2 中 所 示 的 那样 ， 使 用 两 台 交 换 机 对 两 
个 网 段 进行 中 继 ， 这 检 交换 机 发 生 故 障 时 ， 另 一 台 也 能 够 继续 进行 通信 处 理 。 但 采用 网 络 
拓扑 2 的 话 ， 也 可 能 会 出现 托 蔬 球 (bridging loop) 问题 。 


当 交 换 机 1 发 生 故 障 
时 ， 交 换 机 2 仍然 可 
以 进行 通信 处 理 


故障 
填 ， 两 个 网 段 之 间 的 
信 就 会 中 断 。 交换 机 2 
网 络 拓扑 1 网 络 拓 扑 2 


图 2-23 桥接 环 

桥接 环 的 发 生 过 程 如 下 所 示 (所 列 数 字 与 图 2-24 相对 应 ) 

1. PC-A 向 PC-B 发 送 以 太 网 数据 帧 。 

2. 交换 机 1 与 交换 机 2 均 从 各 自 的 端口 1 收 到 了 该 数据 帧 。 由 于 之 前 以 太 网 帧 格式 发 送 方 的 MAC 地 址 


(PC-A 的 地 址 ) 并 不 曾 记 录 于 两 台 交 换 机 的 MAC 地 址 表 中 ， 因 此 这 次 两 台 交 换 机 分 别 在 各 自 的 端口 1 
下 标记 了 PC-A 的 MAC 地 址 ， 并 将 其 添加 在 MAC 地 址 表 中 。 


3. 由 于 两 台 交 换 机 在 各 自 的 MAC 地 址 表 中 都 没有 关于 该 数据 帧 发 送 目的 地 MAC 地 址 (PC-B 的 MAC 地 
所 以 将 该 数据 帧 向 除 接收 端口 (端口 1) 以 外 的 所 有 端口 (本 例 中 是 端口 2) 进行 广播 转 


4. 这 时 PC-B 从 两 台 交 换 机 中 接收 到 了 同一 个 数据 帧 。 与 此 同时 ， 交 换 机 1 和 交换 机 2 也 分 别 从 对 方 那里 
接收 到 同一 个 数据 帧 。 


5. 交换 机 1 从 端口 2 中 收 到 了 交换 机 2 发 来 的 复制 数据 帧 ， 该 数据 帧 的 发 送 方 MAC 地 址 仍 是 PC-A， 但 
由 于 是 从 端口 2 处 收 到 的 ， 所 以 又 将 PC-A 的 MAC 地 址 标记 在 了 端口 2 下 ， 并 记录 到 该 交换 机 的 MAC 

地 址 表 中 。 与 此 同时 ， 交 换 机 2 也 做 了 同样 的 事情 。 而 该 数据 帧 的 目的 地 MAC 地 址 为 PC-B， 但 PC-B 的 
i ， 所 以 两 台 交 换 机 向 除 接收 端口 以 外 的 所 有 端口 (此 时 为 端 
口 1 了 eo 


6. 两 台 交 换 机 又 同时 从 端口 1 处 接收 到 了 复制 数据 帧 ， 


小 


| 


Ee 


新 加 到 了 步 又， 并 永远 重复 这 一 过 程 。 


于 


图 2-24 桥接 环 的 发 生 过 程 


我 们 将 这 种 1 个 以 太 网 数据 帧 在 两 全 交换 机 中 永远 相互 转发 的 状态 称 为 桥接 环 ， 这 是 一 种 由 于 两 全 交换 机 
均 不 知道 对 方 存在 而 造成 的 现象 。 当 大 量 的 广播 数据 帧 在 桥接 环 内 持续 流通 ， 会 使 整个 链 路 的 带宽 被 大 量 
广播 数据 帧 占用 (广播 风暴 ) ， 普 通 的 单 播 数据 帧 则 无 法 在 网 络 中 传输 。 


生成 树 

为 了 避免 桥接 环 问题 ， 我 们 可 以 使 用 生成 树 协议 (STP， Tree Protocol) ， 使 交换 机 之 间 相 互 知 

eT Se 是 在 交换 机 之 间 交 换 BPDU (Bridge Protocol Data Unit， 网 桥 协 议 数据 单 
Da 2-25) “。 


由 实现 生成 树 协议 的 交换 机 所 构成 的 ， 可 能 会 发 生 桥接 环 的 网 络 结构 称 为 STP 拓扑 。 


2 字 节 


1 1 1 8 4 8 2 2 2 2 2 
Protocol| Version | BPDU Flags | Root Root Bridge | Port |IMessagelMaximum | Hello | Forward 
ID(O) (0) Type | oxo0| ID | Path | ID ID Age Age |Time| Delay 
Ox00 Cost 


图 2-25 BPDU 的 数据 帧 格式 
STP 拓扑 内 的 交换 机 一 般 分 为 根 网 桥 和 非 根 网 桥 。 ( 表 2-13、 图 2-26) 
表 2-13 根 网 桥 与 非 根 网 桥 


根 网 桥 ”| 作为 生成 树 基准 点 的 交换 机 。 一 般 选择 Bridge ID (BID) 最 低 的 交换 机 。BID 优先 级 值 和 MAC 地 址 构成 。 当 
(root “| 优先 级 值 相同 时 ， 选 择 MAC 地 址 值 最 小 的 交换 机 充当 根 网 桥 。 根 网 桥 每 间隔 2 秒 (也 称 为 Hello 时 间 ) 发 送 一 次 
bridge) BPDU 数 据 帧 


非 根 网 桥 
(non-root | 参与 生成 树 的 交换 机 中 ， 除 了 根 网 桥 以 外 的 装置 
bridge) 


优先 级 值 最 小 或 相同 时 ，MAC 地 址 值 最 小 的 交换 机 成 为 根 网 桥 。 


根 交 换 机 Bridge ID 
优先 级 值 ，32768 


Gis MAC 地 址 : 11:11:11:11:11:11 


交换 机 B ae =a 交换 机 C 
Bridge ID 非 根 网 桥 Bridge ID 


优先 级 值 ，32768 优先 级 值 ，32768 
MAC 地 址 : 22:22:22:22:22:22 MAC 地 址 :，33:33:33:33:33:33 


图 2-26 根 网 桥 与 非 根 网 桥 的 示例 
优先 级 数值 的 标准 有 IEEE 802.1D 和 扩展 的 IEEE 802.1t 两 种 方式 。 在 正 EE 802.1D 中 ， 每 个 交换 机 的 优 


先 级 值 都 可 以 设 定 为 0~65535 (16bit) 中 的 任意 一 个 数值 ， 默 认 值 为 32768。 而 IEEE 802.1t 中 只 能 设 定 为 
0~61440 (需要 在 32768 (0x8000) 前 加 上 VLAN 编号 ) 这 一 范围 中 4096 的 倍数 。 
相 


民 网 桥 作 为 发 送 源 ， 每 个 Hello 时 间 将 自身 的 MAC 地 址 和 01: 80:C2:00:00:00 的 多 播 目 的 MAC 地 址 通过 
BPDU 数据 帧 发 送 到 STP 拓扑 内 的 所 有 交换 机 中 。 若 在 10 个 Hello 时 间 内 ， 也 就 是 20 秒 内 没有 收 到 


BPDU 数据 帧 ， 网 络 则 会 判断 STP 拓扑 内 发 生 了 故障 ， 将 重新 计算 生成 树 信息 


o 


Hello 时 间 初 始 值 为 2 秒 ， 但 也 可 以 将 该 值 设置 在 1~10 秒 之 间 。 
生成 树 中 的 端口 类 型 如 表 2-14 所 示 ， 每 个 种 类 的 端口 类 型 通过 如 图 2-27 所 示 的 过 程 来 选择 。 
表 2-14 生成 树 的 端口 类 型 
根 端口 (Root Port， 在 交换 机 所 有 的 端口 中 距离 根 网 桥 最 近 的 端口 。 和 根 网 桥 的 距离 不 是 通过 跳 数 (hop) 来 判断 ， 而 
RP) 是 通过 通信 成 本 来 决定 的 。 一 台 非 根 网 桥 只 能 有 一 个 根 端 
指派 端口 (Designated | 每 个 网 段 (冲突 域 ) 指派 一 个 端口 ， 是 离 根 网 桥 最 近 的 网 段 上 的 端口 。 根 网 桥 交 换 机 上 的 所 有 端 
Port，DP 均 是 指派 端 


非 指派 端口 (Non- 


RP 


优先 级 值 : 


ep 


1 


NDP 1 


Designated Port, DP) 阻塞 数据 帧 的 端口 ， 也 称 为 阻塞 端口 (Blocking Port) 
Bridge ID 
优先 级 值 ，32768 
禄 网 薪 MAC 地 址 : 11:11:11:11:11:11 
交换 机 和 
100Mbit/s Dp 1 2 DP 10Mbit/s 
成 本 : 19 成 本 : 100 


D 


2 DP 100Mbit/s BP 2 
3 19 
交迫 机 6 i 
Bridge ID Bridge | 
32768 


MAC 地 址 ，22:22:22:22:22:22 


非 根 网 桥 


图 2-27 根 端口 (RP) 、 指 定 端口 (DP) 、 非 指定 端口 (NDP) 的 选择 


于 决定 根 端 


表 2-15 决定 根 端口 的 成 本 


优先 级 值 : 32768 
MAC 地 址 ，33:33:33:33:33:33 


口 的 连接 成 本 如 表 2-15 所 示 ， 端 口 的 连接 速度 越 高 成 本 就 越 低 ， 也 就 越 容 易 成 为 根 端 


连接 速度 802.1D-1998 中 的 STP 成 本 802.1t-2001 中 的 STP 成 本 
10Mbit/s 100 2,000,000 
100Mbit/s 19 200,000 
1Gbit/s 4 20,000 
10Gbit/s 2 2,000 
在 生成 树 中 ， 交 换 机 各 个 端口 状态 的 迁移 过 程 如 表 2-16 所 示 。 在 默认 设置 下 ， 端 口 状态 迁移 至 转发 
(forwarding) 状态 (收敛 ) 一 共 需 要 50 秒 。 也 就 是 说 在 交换 机 启动 后 ， 或 者 因为 故障 等 原 基 
扑 变 化 需要 重新 计算 9 


成 树 时 ， 将 会 有 5 


表 2-16 各 个 端口 的 状态 迁移 


0 秒 


的 时 间 无 法 进行 数据 通信 了 


[ 作 。 


导致 网 络 拓 


发 送 | 受 下 
状态 说 明 数据 | 尝 咏 | 。 默认 时 间 
本 | MC 
虽 察 状态 。 | 交换 机 的 各 个 端口 默认 进入 20 秒 的 阻塞 状态 ， 在 该 期 间 只 能 搂 收 BPDU | 不 发 | 不 学 |20 秒 (该 时 间 段 也 
1| “(hairs) | 数据 巅 ， 不 能 发 送 和 接收 其 他 数据 帧 。 在 开启 电源 后 的 一 段 时 间 里 所 有 | 你”| 全 ” | 称 为 max age， 范 
8 | 端口 以 及 任何 时 刻 的 非 指派 端口 都 是 这 个 状态 图 是 6~40 和 ) 
2 | 俩 听 状 态 。 | 能够 发 送 或 接收 BPDU 数 据 帧 ， 但 不 能 发 送 接收 其 他 数据 帧 的 状态 。 是 | 不 发 | 不 学 | 项 各 谢 和 加 外 生 
(iseing) 。 | 根 滑 口 和 台 派 册 生 由 转发 状 农 进 克 的 中 辐 头 太 | 
间 避 状 能 够 发 送 或 接收 BPDU 数 据 帧 、 接 收 其 他 数据 帧 的 状态 。 从 接收 到 的 其 | 不用 
和 全 下 学 习 MAC 地 址 信息 。 也 是 根 占 口 和 指派 端口 向 转发 状态 迁 “| 奸 受 | 学 习 | 半生 ) foward 
的 中 前 
4 | 转发 状态 | 可 以 发 送 或 接收 (传输) 其 他 数据 由 发 送 | 学 习 
orwarding) 
六 同 羽 夫 | (发 | (学 
用 状态 “。 | 生成 树 功能 无 效 时 的 端口 状态 el 
发 生疏 障 后 50 秒 内 通信 停止 会 导致 几乎 所 有 的 用 户 应 用 程序 超时 ， 还 可 能 带 来 其 他 各 种 通信 方面 的 影 
响 ， 因 此 更 加 高 速 的 生成 树 收敛 技术 被 开发 出 来 。 


思科 公司 独 有 的 生成 树 扩展 功能 


下 


局 


先 介 经 


下 思科 公司 产品 独 有 的 生成 树 扩展 功能 


表 2-17 思科 公司 生成 树 扩展 功能 


， 具 体内 容 如 表 2-17 所 示 。 


功能 名 称 


说 明 


在 收集 用 户 数据 的 接 入 交换 机 上 使 


的 功能 。 与 用 户 的 个 人 计算 机 建立 了 有 效 链 路 的 交换 机 端 


。 车 能 路 关 效 ， 


PortFast PortFast 功 能 可 以 立刻 迁移 到 转发 状态 。 那么 从 链 路 断 开 到 重新 建立 ， 端 会 从 做 只 态 注 移 到 
转发 状态 ， 期 间 耗 时 约 30 秒 
同样 是 在 接 入 交换 机 中 使 用 的 功能 ， 当 接 入 交换 机 与 核心 交换 机 通过 两 根 元 余 的 链 路 进行 直 连 时 ， 若 其 中 1 条 
链 路 发 生 故 障 ， UplinkFast 可 以 大 大 提 到 转换 到 另 1 条 链 路 的 速度 。 当 该 功能 生效 时 ， 在 根 端 口 链 路 发 生 故 障 
后 ， 男 一 个 端口 (阻塞 状态 端口 ) 立刻 进入 转发 状态 。 此 时 ， 根 网 桥 无 法 继续 使 

Ee 当 发 生 故 障 时 ， 


UplinkFast 功 能 
会 立刻 启动 阻塞 


状态 端口 


交换 机 阻塞 端口 一 根 端 


功能 名 称 说 明 


BackboneFast | 检测 出 间接 链 路 发 生 的 故障 ， 使 状态 迁移 的 时 间 从 50 秒 缩短 为 30 秒 


RSTP 


2004 年 IEEE 802.1w 正式 定义 了 RSTP (Rapid Spanning Tree Protocol， 快 速生 成 树 协议 ) 。 最 初 的 生成 树 
协议 在 1998 年 作为 [EEE 802.1D 就 完成 了 标准 化 ， 而 RSTP 则 在 随 后 以 IEEE 802.1D-2004 的 标准 形式 完 
成 了 标准 化 工作 。 
在 RSTP 中 ， 端 口 状 态 的 收敛 只 需 1 秒 。 


RSTP 中 的 端口 类 型 与 STP 定义 的 稍 有 不 同 ，STP 中 的 非 指 派 端口 在 RSTP 中 被 分 为 了 替换 端口 和 备用 端 
口 ( 表 2-18) 。 


表 2-18 RSTP 的 端口 类 型 


根 端口 (RP，root porb ”| 交换 机 中 离 根 网 桥 最 近 的 端口 (与 STP 相 同 ) 


指派 江口 DP。designated | 离 根 网 桥 最 近 的 网 段 上 的 端口 《与 STP 相 同 ) 

入 《AR，ahernate | 除了 要 关外 过 生根 间 本 成本 最 人 的 六 用 于 间接 要 风 的 备用 部 径 ， 一 不 二 用 
port 状态 

备份 端口 (BP，baclaup | 指派 端口 所 连接 的 网 段 中 同时 连 有 另 一 个 端口 ， 那 么 这 个 端口 就 可 以 作为 指派 端口 的 备份 ， 一 
port) 般 也 处 于 阻塞 状态 


图 2-28 RSTP 的 端口 选举 范例 
表 2-19 RSTP 端口 状态 


STP 端 口 状态 RSTP 端 口 状态 说 明 
禁用 状态 丢弃 状态 
阻塞 状态 丢弃 状态 丢弃 流入 端口 的 数据 帧 ， 不 学 习 MAC 地 址 
侦 听 状态 丢弃 状态 
学 习 状 态 学 习 状 态 虽然 丢弃 流入 端口 的 数据 帧 ， 但 学 习 MAC 地 址 
转发 状态 转发 状态 根据 流入 端口 的 数据 帧 以 及 学 习 的 MAC 地 址 信息 进行 转发 
在 STP 协议 中 ， 根 网 桥 生成 BPDU 数据 帧 ， 其 他 网 桥 (交换 机 端口 ) 通过 转发 BPDU 数据 帧 来 进行 状态 


m 


迁移 、 完 成 收敛 。 而 在 RSTP 协议 中 ， 所 有 的 网 桥 均 会 生成 BPDU 数据 帧 ， 并 同 相 邻 的 交换 机 进行 握 


要 富 


(Handshake) 。 双 方 交 换 机 通过 握手 ， 从 交换 的 提议 BPDU 数据 帧 中 获取 对 方 的 BPDU 优 ? 
人 选 出 根 网 桥 和 根 端口 后 根 端口 发 送 同 意 (Agreement) BPDU 数据 帧 ， 至 此 交换 机 
下 元 


随后 ，BPDU 数据 帧 会 以 Hello 时 间 (默认 是 2 秒 ) 为 间隔 连续 发 送 ， 当 对 方 在 3 个 时 间 间 隔 内 没有 发 送 
BPDU 数据 帧 时 ， 网 络 会 判断 该 链 路 已 经 失效 。 所 以 在 RSTP 协议 中 ， 只 需要 6 秒 即 可 检测 出 链 路 发 生 故 


障 。 


另外 ，RSTP 可 以 向 下 兼容 STP， 因 此 使 用 RSTP 的 交换 机 与 使 用 STP 的 交换 机 能 够 在 同一 个 STP 网 路 
拓扑 中 共存 。 但 这 时 ，RSTP 无 法 进行 高 速 收 敛 。 


其 他 生成 树 
表 2-20 总 结 了 各 种 VLAN 中 使 用 了 生成 树 的 协议 。 
表 2-20 STP、RSTP 以 外 的 生成 树 


E 


号 


名 称 说 明 


CST (Common Spanning Tree) ”| 多 个 VLAN 仅 设置 了 1 个 STP 生 成 树 。 由 IEEE802.1Q (根据 VLAN 标 签 进行 链 路 聚集 ) 定义 


PVST (Per-VLAN Spanning 思科 公司 特有 的 协议 ， 能 够 在 每 个 VLAN 中 分 别 设置 STP 生 成 树 。 在 交换 机 之 间 使 用 该 公司 


Tree) 的 ISL (Inter-Switch Link) 进行 链 路 聚集 


TS PemWLAN Spanning 。 | 在 PVST 与 CST 渴 合 的 环境 下 也 可 使 用 ， 能 够 对 应 多 个 YLAN 的 生成 树 
RPVST+ (Rapid PerVLAN | 可 以 对 每 个 VLAN 都 分 别 设置 RSTP 的 生成 术 


Spanning Tree Plus) 


MST (Multiple Spanning-Tree， | 定义 于 2003 年 ， 合 并 到 IEEE802.1Q-2005 的 生成 树 。 和 RSTP 一 起 工作 ， 能 通过 1 个 BPDU 管 
IEEE802.1s) 理 多 个 VLAN 


02.08.04” 链 路 聚合 


使 用 链 路 聚合 (Link Aggregation) 的 方法 能 够 ; 端口 ) 汇 
合 链 路 ) 在 网 络 中 使 用 。 物理 接口 的 聚合 有 多 种 称呼 : 聚集 人 
bundling) 、 绑 定 (bonding) “组 队 (teaming) 等 等 。 


条 人 逻辑 线路 ( 
连 路 捆绑 (link 


并 
漆 沪 


EtherChannel 


在 思科 公司 的 IOS 及 CatOS 中 ，EtherChannel 功能 就 是 一 种 链 路 聚合 。 该 功能 将 聚合 的 物理 端口 根据 其 速 
率 情况 ， 2 FEC (Faster Ethernet Channel， 多 个 快速 以 太 网 线路 聚合 ) 、GEC (Gigabit Ethernet 
Channel， 多 个 千 兆 以 太 网 线路 聚合 ) 、10GEC (10Gigabit Ethernet Channel， 多 个 万 兆 以 太 网 线路 聚合 ) 
等 多 个 聚合 甘油 每 个 类 型 可 以 聚合 2~8 个 端口 。 


例如 ， 两 台 交 换 机 各 有 3 个 于 兆 以 太 网 端口 ， 将 每 台 交 换 机 的 端口 聚合 成 1 条 逻 罗 辑 线路 (GEC) ,交换 机 
之 间 便 可 进行 最 大 3Gbit/s 速率 的 连接。 这 时 ， 即 使 3 条 物理 线路 断 开 了 任意 一 条 ， 由 于 逻辑 线路 还 有 两 
条 在 维持 ， 因 此 通信 也 不 会 中 断 ， 达 到 了 线路 见 余 的 效果 。 


如 果 不 使 用 链 路 聚合 功能 而 怎 号 接 将 交换 机 上 的 多 个 物理 端口 连接 起 来 ， 可 能 会 导致 桥接 环 的 发 生 。 
是 使 用 生成 树 协议 ， 又 会 加 某 些 链 路 ， 导 致 只 有 1 条 物理 链 路 可 供 使 用 。 


识 


如 上 文中 提 到 的 将 3 条 
数据 帧 有 效 载 荷 9 


PIP 


IEEE 802.3ad/IEEE 802.1AX 


IEEE 802.3ad 是 2000 年 3 月 
屋 关系 上 的 冲 


也 被 称 为 LACP (Link Aggregation Control Protocol， 链 路 聚合 控制 协议 ) 
成 交换 机 之 间 设 备 、 端 


现 了 分 


该 标准 1 


< 物理 线路 
部 内 的 IP 地 址 信息 


聚合 


的 例子 ， 在 交换 机 具 


体 实 现 后 ， 参 考 以 太 网 数据 帧 中 的 MAC 地 址 或 


制定 的 关于 链 路 


还 可 以 选择 使 用 哪 根 具 体 的 物理 链 路 来 传输 数据 帧 。 


聚合 


的 标准 。 该 标准 和 之 后 矿 


E 2008 年 制定 的 IEEE 802.1X 出 


突 ， 


于 是 又 经 802.1 工 


状态 和 链 路 设 


作 组 再 度 修改 ， 最 终 以 IEEE 802.1AX-2008 的 形式 


。 使 用 LACP 


再 次 发 布 。 
协议 可 以 完 


入 置 等 信息 ， 


表 2-21 IEEE 802.3ad 的 注意 事项 


但 有 些 事项 需要 六 


， 具 体内 容 如 表 2-21 所 


局 


f 示 。 


只 能 用 于 相同 传输 媒介 之 间 


们 


如 ， 


能 在 1000 


侠 


BASE-T 中 使 


， 而 无 法 在 1000BASE-T 与 1000BASE-SX 线 路 中 混 


只 能 使 用 全 双 工 通信 方式 


不 这 竺 半 


双 工 通信 方式 


只 能 使 用 点 到 点 


的 方式 


天 法 适用 点 到 多 点 的 拓扑 结构 ， 


只 能 在 成 对 儿 的 两 台 机 器 之 间 通 


ET 


PAgP 


PAgP (Port Aggregation Protocol， 


联 公 人 


x 
聚合 


端口 


协议 ) 


科 公司 的 杜 有 协议 ， 


通过 该 协议 思科 公司 交换 机 之 


征 


/DA 


间 的 链 路 聚合 能 够 自动 生成 。 交 换 机 通过 那些 成 为 聚合 链 路 的 物理 成 员 端 口 来 交换 PAgP 分 组 、 识 别 相 邻 
交换 机 和 获得 聚合 方 可 的 信息 。 

02.08.05 VLAN 

将 广播 域 分 割 成 一 个 个 逻辑 网 段 的 功能 称 为 VLAN (Virtual LAN 的 简称 ) 。 关 于 VLAN 的 信息 请 参考 第 
4 章 。 

02.08.06 ”端口 镜像 

将 某 个 端 a et ee Ly 镜像 
(Port Mirroring) ” (图 2-29) ， 被 复制 的 源 端口 称 为 监控 端口 (Monitor Port) 。 

为 了 分 析 网络 故障 或 检测 网 络 中 的 通信 流量 信息 ， 交 换 机 会 将 收 到 的 数据 帧 复制 一 份 并 转发 到 LAN 分析 
器 (也 称 为 嗅 探 器 、 分 组 分 析 器 、 网 络 分 析 器 ) 或 流量 监控 设施 中 。 

如 果 使 用 的 是 中 继 器 ， 在 某 个 端口 接收 到 数据 帧 时 ， 需 要 将 该 数据 帧 复制 并 转发 到 其 他 所 有 端口 。 而 交换 
机 则 会 根据 数据 帧 发 送 源 的 MAC 地 址 ， 完 成 MAC 地 址 表 (转发 表 ) 的 记录 ， 通 过 学 习 MAC 地 址 将 数 
据 帧 只 发 送 到 目的 地 MAC 地 址 所 对 应 的 端口 中 去 。 这 时 ， 如 果 需 要 侦 测 发 送 到 其 他 端口 的 通信 数据 ， 就 
需要 使 用 端口 镜像 这 一 功能 了 。 

思科 公司 的 Catalyst 系列 交换 机 所 使 用 的 端口 镜像 功能 称 为 SPAN (Switched Port Analyzer， 交 换 端 口 分 析 


端口 镜像 功能 


将 经 过 指定 端口 的 数 
据 帧 复制 并 转发 到 其 
他 端口 的 功能 。 有 些 
交换 机 产品 可 以 通过 
设置 将 自身 的 普通 端 
口 作为 镜像 端口 使 
用 ， 也 有 些 产品 自 带 


从 以 太 网 处 让 
接收 分 组 专用 的 物理 镜像 端口 


MAC 数 据 帧 


互联 网 公司 LAN 数据 捕获 软件 


数据 捕获 计算 机 \ 


将 复制 的 数据 帧 重组 并 通 
过 专用 应 用 程序 分 析 


图 2-29 端口 镜像 的 构成 
02.08.07 ”QoS 优先 级 队列 


QoS 是 Quality of Service 的 缩写 ， 也 称 为 服务 质量 。 这 是 一 个 为 了 保障 i 网 络 通信 速率 


当 数 据 通过 网 络 硬件 时 ， 根 据 其 通信 种 类 控制 通信 优先 级 和 带宽 的 功能 。 一 般 而 言 ， 


主干 通信 业务 、 声 


降 至 最 低 。 


除了 交换 机 在 L2 上 进行 的 QoS 控制 以 外 ， 还 有 路 由 器 以 及 L3 交换 机 进行 的 L3 (IP) 的 
TCP 进行 的 L4 的 QoS 控制 。 


IEEE802.1p 标准 完成 了 对 L2 的 QoS 优先 级 控制 的 标准 化 工作 。 


J 


音 、 影 像 等 数据 的 通信 定义 为 优先 级 较 高 以 便 它 们 能 得 到 优先 处 理 ， 同 时 将 这 类 业务 通 和 信和 的 时 延 、 抖动 等 


QoS 控制 以 及 


由 于 IEEE802.1Q 标准 对 VLAN 中 的 VLAN 标签 (扩展 MAC 首部 ) 提供 了 3bit 长 度 的 PCP (Priority 


Code Point) 优先 级 控制 符 ， 因 此 L2 的 QoS 控制 同样 适用 于 VLAN 环境 。 
e 包 含 VLAN 标 签 信息 的 MAC 扩 展 数据 由 


46~1500 字 节 


VLAN 已 (VLAN 标 


3bit 1bit 12bit 


图 2-30 VLAN 的 优先 级 别 信 息 


准 ) 标准 中 


前 ，IEEE 802. 1p 已 经 被 并 入 到 IEEE 802.1D-2004 (IEEE 802.1D 是 包含 了 生成 树 算法 的 MAC 桥接 标 


IEEE 802.1p 支持 GARP (Generic Attribute Registration Protocol， 通 用 属性 注册 协议 ) 以 及 能 够 通过 GARP 


协议 将 有 的 多 播 地 址 通知 给 其 他 网 桥 的 GMRP (GARP Multicast Registration Protocol， 多 井 
注册 协议 ) 协 


i 


议 。 


通过 3bit 的 优先 级 控制 信息 ， 可 以 定义 从 0 到 7 的 8 个 优先 级 ( 即 CoS 值 ，Class of Service 值 ， 服 务 等 级 


值 ) ， 交 换 机 会 优先 发 送 该 值 较 大 的 数据 帧 。 
02.08.08 ”MAC 地 址 过 滤 


为 了 网 络 安全 ， 只 让 网 络 完成 满足 指定 条 件 的 通信 过 程 的 功能 称 为 通信 过 滤 办 功能 。 


| 2 英语 为 filtering。 一 一 译 者 注 


定 的 过 滤 条 件 ， 


有 的 工 2 交换 机 可 以 提供 基于 以 太 网 数据 帧 的 首部 信息 进行 通信 过 滤 的 功能 。 上 有 具体 而 言 ， 就 是 事先 设置 


如 目的 地 MAC 地 址 、 发 送 源 MAC 地 址 、 类 型 域 信息 等 ， 在 通信 时 只 让 满足 条 件 的 数据 


帧 通过 ， 阻 挡 其 他 不 满足 条 件 的 数据 帧 。 


司 管理 范围 


过 滤 的 功能 。 


L3 交换 机 或 路 由 器 带 有 可 以 根据 卫 首部 信息 完成 卫 通信 过 滤 的 功能 ， 不 过 有 些 工 2 交换 机 也 同样 带 


由 于 不 同 的 个 人 计算 机 会 带 有 不 同 的 MAC 地址， 所 以 公司 网 络 还 可 以 通过 MAC 过 滤 功 能 ， 只 允许 在 公 
内 的 计算 机 访问 公司 的 LAN (图 2-31) 。 另 外 ， 考 虑 到 可 能 还 会 有 伪造 MAC 地 址 的 情况 发 
生 ， 所 以 需要 将 MAC 地 址 过 滤 和 更 为 严格 的 LAN 接 入 控制 认证 协议 IEEE 802.1X (参考 02.08.09) 一 同 


El 
my 
训 
局 


MAC 地 址 过 滤 也 是 在 无 线 LAN 的 接 入 点 中 经 常 使 用 的 功能 。 


只 有 发 送 源 MAC 地 址 一 致 时 
才 人 允许 接 入 网 络 WE 
:22:33:aa:bb:cc 


注册 MAC 地 址 信息 | 

11:22:33:bb:cc:dd 

| 11:22:33:cc:dd:ee 
\ J 

- 11:22:33:cc:dd:ee 


图 2-31 MAC 过 滤 的 构造 
02.08.09 ”基于 端口 的 认证 


在 支持 基于 端 


口 认 证 的 交换 机 中 ， 通 过 认证 的 客户 端 才 被 允许 使 用 交换 机 的 端口 。 该 功能 经 由 IEEE 


802.1X 完成 了 标准 化 。IEEE 802.1X 标准 是 于 2001 年 以 “Port Base Network Access Control (基于 端口 的 网 


络 访问 控制 ) 


制 9 


人 


”为 名 发 布 的 标准 协议 ， 提 供 了 对 接 入 LAN 的 客户 端 (个 人 计算 机 ) 进行 认证 的 一 系列 机 


该 认证 协议 常用 于 客户 端 在 接 入 无 线 LAN 接 入 点 时 的 认证 工作 。 但 在 支持 IEEE 802.1X 认证 的 交换 机 上 
同样 可 以 实现 接 入 有 线 LAN 的 认证 工作 。 
在 有 线 LAN i 当 与 交换 机 相连 的 以 太 了 网线 缆 连 接 到 个 人 计算 机 时 ， 认 证 过 程 开 始 启动 。 根 据 发 送 方 的 
MAC 地 址 信 息 进行 客户 端 识别 ， 通 过 用 户 名 、 口 令 或 证 书 等 认证 信息 进行 用 户 认 证 。 对 于 没有 认证 的 客 
端 发 来 的 数据 喷 ， 交 换 机 只 保存 包含 了 认证 所 需 信 ， 各 的 数据 帧 ， t 余 全 部 丢弃 。 而 对 于 认证 失败 的 客户 
Re 交换 机 则 直接 丢弃 不 会 转发 到 其 端口 上 。 
表 2-22 列举 了 IEEE802.1X 的 3 个 构成 要 素 。 
表 2-22 IEEE 802.1X 的 构成 要 素 
要 素 说 明 
认证 请 求 者 在 客户 端 所 属 的 个 人 计算 机 上 安装 的 用 于 IEEE 802.1X 认 证 的 功能 实体 (软件 ) 。 在 Windows XP/Vista/7 以 
人 及 MAC OS X 操 作 系统 中 内 置 了 该 功能 实体 。 与 Windows 中 的 EAP-MD5、EAP-TLS、PEAP 相 对 应 ， 与 MAC 
站 OS X 中 的 EAP-TLS、EAP-FAST、EAP-TITLS、LEAP、PEAP27 相对 应 
0 i 在 IEEE 802.1X 中 对 应 的 交换 机 或 无 线 LAN 访 问 接口 。 在 认证 请 求 方 和 认证 服务 器 之 间 转 播 认证 消息 
authenticator) 
认证 服务 器 
(authentication | 对 认证 请 求 方 进行 认证 的 服务 器 ， 通 常 使 用 RADIUS 服务 器 
server) 
| 27 这 些 都 是 操作 系统 自 带 的 用 于 802.1X 扩展 的 认证 协议 ， 在 L2 中 工作 。 一 一 译 者 注 
若 想 进 行 基 于 端口 的 认证 ， 客 户 端 所 属 电 脑 与 交换 机 双方 都 必须 预先 设置 及 成 支持 使 IEEE 802.1X 进行 认 
证 。 只 有 客户 端 支持 是 无 法 使 用 JEEE 802.1X 的 ， 但 仍 可 以 无 条 件 使 用 所 有 交换 机 端口 。 相 反 ， 如 果 只 有 
交换 和 L 文 持 ， 客 户 端 则 不 能 使 用 交换 机 的 任何 端口 。 
IEEE 802.1X 认证 中 使 用 了 PPP (Point to Point Protocol， 点 对 点 协议 ) 的 扩展 协议 EAP (Extensible 
Authentication Protocol， 可 扩展 认证 协议 ) ， 通 过 EAPOL (Extensible Authentication Protocol Over LAN， 
局 域 网 的 扩展 认证 协议 ) 协议 封装 EAP 认证 消息 ， 然 后 在 LAN 中 进行 传递 。 认 证 结束 之 前 ， 客 户 端 所 属 


的 个 人 计算 机 无 法 


行 EAPOL 以 外 的 通信 


认证 请 求 方 认证 方 认证 服务 器 


EAPjRadiuslupPlIPjEther| 恩 罗 


用 于 认证 的 支持 IEEE 802.1X 支持 IEEE802.1X 的 
客户 端 软件 的 交换 机 RADIUS 服 务 器 


1) EAPOL-Start 


Apius 


6) EAP Success 6) RADIUS Access 接收 


EAP Logoff 


图 2-32 IEEE 802.1X 基于 端口 认证 的 流程 
02.08.10 ”网 络 管理 


SNMP 

远程 管理 、 监 视 和 设置 网 络 硬件 可 以 使 用 SNMP (Simple Network Management Protocol， 简 单 网 
议 ) 协议 。 使 用 SNMP 协议 能 够 从 远 处 对 整个 网 络 组 织 结构 内 安装 的 交换 机 和 其 他 网 络 硬 件 进行 全 
一 的 管理 。 


28 


Pea 


图 网 络 的 设施 则 称 为 管 班 


上 


[ys 


被 SNMP 管理 的 网 络 设施 称 为 代理 者 (agent) ， 管 


| 到 这 是 SNMP 中 网 络 管理 的 抽象 概念 一 译 者 注 


者 (manager) 


能 够 使 用 SNMP 代理 和 RMON 功能 的 交换 机 称 为 智慧 《Intelligent) 交换 机 。 


SMIv1 或 SMIv2 的 形式 ET 


| MIB、MIB-Il ( 标准 MIB ) 
【私有 MIB ( 扩展 MIB ) 


SNMP ( UDP 端口 161 ) 路 由 器 中 
二 防火 墙 


SNMP 陷 阱 ( UDP 端口 162 ) 
| 


交换 机 
SNMP 管 理 者 SNMP 代 理 者 
( 管理 工作 站 ) ( 管理 对 象 节点 ) 
图 2-33 ”使 用 SNMP 进行 网 络 管理 的 思路 
SNMP 协议 分 为 版 本 1、 版 本 2 和 版 本 3 ( 表 2-23) 。 


表 2-23 SNMP 版 本 


版 本 RFC 说 明 
在 RFC1157 中 定义 了 整个 协议 的 内 容 ， 在 RFC1066 中 定义 了 MIB 信 息 ， 在 RFC1213 中 定义 了 
的 相关 内 容 。 
SNMPv1 |RFC1157 定义 了 GetRequest、GetNextRequest、 GetResponse、SetRequest 和 Trap 五 种 消息 (PDU，Protocol 
Data Unit， 协 议 数据 单元 ) 本 是 最 初 的 SNMP 协 议 ，community{29[SNMP 协议 中 表示 网 络 
设备 团体 名 称 的 一 个 数据 结构 ， 具 体内 容 可 参考 后 文 关于 “团体 ”的 说 明 。-_ 译 者 注 ]} 信 息 的 交 
互 使 用 明文 、 安 全 性 较 弱 ， 因 此 已 经 很 少 使 
a 添加 了 GetBulkRequest 消 息 ， 能 够 更 加 快速 地 获取 多 个 MIB 信 息 。 因 为 改善 了 SNMPv1 中 的 安全 性 
SNMPv2 RFC1441~1452 | 问题 并 扩展 了 协议 而 得 到 标准 化 ， 但 由 于 安全 功能 过 于 复杂 ， 也 没有 在 大 范围 内 使 


和 SNMPv1 一 样 使 用 community 进 行 网 络 管理 ，community 信 息 的 交互 同样 也 使 用 了 了 明文。 添加 了 
Inform 消 息 ， 使 管理 者 之 间 可 以 通信 并 交换 信息 


SNMPv2u |REFC1909、 简化 了 SNMPv2 的 复杂 性 ， 采 取 了 比 SNMPv1 更 安全 的 基于 用 户 的 SNMP 管 理 方式 。 SNMPv3 在 安 
1910 全 方面 继承 了 该 版 本 的 一 部 分 内 


2002 年 成 为 了 RFC 的 标准 之 一 。 本 功能 同 SNMPv2c 没 有 本 质 的 差 Ff， 但 是 不 再 使 
community， 而 是 使 用 了 以 用 户 为 单位 进行 口令 认证 的 方式 ， 即 USM 方 式 (User-based Security- 
Model， 基 于 用 户 的 安全 模型 ) 。 其 中 口令 使 用 MD5 或 SHA 的 哈 希 值 进行 交互 ， 协 议 数据 同样 可 
以 使 用 密 文 存 取 。 该 版 本 是 目前 广泛 使 用 的 SNMP 版 本 可 以 选择 以 下 安全 级 别 。 


MIB-II 


ZI 


让 


SN 
区 


SNMPv2c | RFC1901~1908 


| 感 


| 


EF 


noAuthNoPriv (不 认证 、 明 文 ) 不 认证 ， 使 用 明文 保存 数据 
authNoPriv (认证 、 明 文 ) 认证 ， 使 用 明文 保存 数据 
SNMPv3 |RFC3411~3418 authPrivV (认证 密 ) Wa 到 使 密 文 保 右 数 据 


同时 还 拥有 VACM (View based Access Control Model， 基 于 视图 的 访问 控制 模型 ) 功能 ， 该 功能 
定义 了 每 个 用 户 能 够 访问 的 MIB 范 围 。 在 VACM 中 用 户 能 够 访问 的 MIB 范 围 称 为 上 下 文 

(context) ， 该 上 下 文通 过 其 在 整个 SNMP 空 间 内 的 唯一 命名 上 下 文 名 (contextName) ， 和 
一 个 管理 域内 唯一 的 contextEngineID 进 行 识别 。 在 该 上 下 文 参数 的 交互 上 添加 了 scoped 消 息 。 ,此 
外 ， 还 添加 了 maxSizeResponseScoped 消 息 用 于 告知 scoped 消 息 发 送 方 能 够 发 送 的 最 大 消息 长 度 是 


SNMP 协议 使 用 UDP 的 161 端口 进行 数据 的 通信 30 ， 这 是 由 于 TCP 需要 建立 连接 才能 完成 通信 3 ， 并 
不 适合 用 于 紧急 数据 通信 的 情况 。 而 UDP 无 需 建 立 连 接 ， 可 上 随时 发 送 数 据 ， 符 合 SNMP 的 应 用 要 求 ， 
所 以 SNMP 使 用 了 UDP 通信 方式 。SNMP 隐 阱 消息 使 用 UDP 的 162 端口 进行 数据 的 通信 。SNMP 陷阱 
消息 是 指 像 通信 设备 的 电源 坏 了 1 个 或 CPU 使 用 率 超过 了 90%3 这 样 的 ， 即使 管理 者 没有 要 求 ， 代 理 者 也 
会 自动 发 送 的 警告 消息 。 


企 传输 层 上 使 用 的 用 于 表示 进程 间 通 信 的 软件 端口 。 译 者 注 


人 


ZI 


| 2 这 里 的 端口 是 指 软 端 


| 时 建立 连接 TCP 的 成 本 也 比较 高 。 在 网 络 条 件 较 好 的 情况 下 ，UDP 通信 的 可 靠 性 会 上 升 很 多 ， 而 且 更 为 便捷 。 一 一 译 者 注 


SNMP 管理 者 与 SNMP 代理 者 之 间 使 用 的 SNMP 交互 消 , 息 ， 包 含 了 SNMP 版 本 、community 名 称 、PDU 
(Protocol Data Units ， 协 议 数据 单元 ) 等 信息 。PDU 是 SNMP 的 指令 数据 ， 大 致 内 容 如 表 2-24 所 示 。 


表 2-24 SNMP 中 使 用 的 PDU 


PDU 说 明 


Get- SNMP 管 理 者 为 了 获取 ( 读 取 ) 数据 向 SNMP 代 理 者 发 出 的 请 求 消息 。 使 用 UDP 的 161 端 口 发 送 到 SNMP 代 理 者 
Request “| 处 。 发 送 源 端口 取 适 当 的 值 


吕 


Get- 当 SNMP 代 理 者 收 到 SNMP 管 理 者 的 Get-Request 消 息 后 ， 返 2 必 答 消息 。 代 理 者 使 用 UDP 的 161 端 口 作 
Response | 为 发 送 源 端口 ， 而 目的 端口 则 是 Get-Request 消 息 中 携带 的 发 送 源 端 


导 到 下 一 项 目 信息 时 向 SNMP 代 理 者 发 送 的 请 求 消 


到 | 
日 
可 
滞 
全 
二 


Get-Next- | SNMP 管 理 者 收 到 Get-Request 消 息 并 从 中 获取 MIB 
Request | 息 。 代 理 者 同样 使 用 Get-Response 作 为 该 消息 的 应 答 


PDU 说 明 
Set- 人 置 时 ，SNMP 管 理 者 会 向 SNMP 代 理 者 发 送 Set-Request 消 息 。 使 用 161 的 UDP 端口 号 作为 
Request “| 的 端 理 者 使 用 Get-Response 消 息 应 答 
Trap SNMP 管 理 者 从 SNMP 代 理 者 自动 收 到 的 紧急 消息 ， 使 用 UDP 的 162 号 端 
。 团体 
SNMP 协议 中 有 一 个 名 为 团体 (community) 的 概念 。 只 有 携带 同样 团体 名 称 的 SNMP 代理 者 与 
SNMP 管理 者 之 间 才 能 进行 SNMP 消息 交互 ， 因 此 团体 也 可 以 视 作 是 二 者 之 间 进 行 交 互 的 一 种 口令 
(password) 。 
团体 可 以 分 为 读 取 用 (Read-Only， 在 Get-Request 消息 中 使 用 ) 、 读 写 用 (Read-Write， 在 Set- 
Request 消息 中 使 用 ) 以 及 Trap 用 ， 可 以 根据 需要 自 定义 车 体 名 称 。 读 取 用 团体 的 命名 几乎 都 会 默认 
使 用 “public' 注 字 序列 。 
团体 名 称 可 以 使 用 明文 行 通信 交 交互 ,但 有 时 不 仅仅 是 团体 名 称 ， 整 个 SNMP 通信 信息 都 可 以 在 网 
络 中 使 用 明文 进行 通信 ， 这 一 点 需要 注意 。 
不 过 SNMPv3 不 再 使 用 团体 名 称 而 是 使 用 以 用 户 为 单位 的 口令 认证 。 
。 MIB 
网 络 硬件 中 会 使 用 很 多 类 型 的 配置 参数 来 完成 对 设备 管理 ， 如 接口 和 协议 的 设置 信息 等 。 在 SNMP 
' 这 类 信息 通过 MIB (Management Information Base， 管 理 信息 库 ) 这 个 数据 库 尝 来 进行 管理 。MIB 
数据 库 采 用 树 形 结 构 ， 其 中 的 信息 来 自 设 制造 | 商 提 供 风 相关 文本 文件 。 例如 ，MIB 使 用 下 述 定 
义 的 结构 来 表示 从 接口 处 收 到 的 通信 流量 字 节 (用 八进制 表示 


SySContact OBJECT- 
SYNTAX 
ACCESS 
STATUS 
DESCRIPTION 


TYPE 


DisplayString (SIZE (0..255) ) 
read-write 
mandatory 


"The textual identification of the contact person 

for this managed node, together with information 

on how to contact this person." 
= { system 4 } 


上 面 列 出 的 代码 是 


从 MIB-II 标准 


抽 


Notation One, 


名 或 Kerberos、LDAP 等 Yb 


证 


文件 


象 语法 标记 1) 的 定义 语法 33 来 描述 
协议 。ASN.1 在 ISO8824 标准 文件 


摘出 的 一 段 ， 


化 ) 在 ISO8825 文件 中 可 查 。 

MIB 的 文本 文件 一 般 会 按照 分 类 进行 描述 ，1 个 通信 设备 一 般 会 

分 类 如 表 2-25 所 示 ， 分 为 接口 用 、IP 用 、TCP 用 、BGP 用 等 ， 

厂商 独自 定义 的 私有 MIB 两 类 。 

标准 MIB 文件 分 为 由 RFC1156 定义 的 MIB-I， 和 由 RFC1213 定义 的 MIB-II， 
MIB- I。MIB 文件 的 格式 则 分 为 由 RFC1215 定义 的 SMIv1 和 由 RFC2578 定 
是 Structure of Management Information 的 缩写 ， 意 为 管理 信息 结构 ) 。 


乒 


它 使 用 了 一 包 
述 ， 除 了 SNMP 


的 MIB 


进行 了 标准 


称 为 ASN.1 (Abstract Syntax 


之 外 ， 
化 ， 


还 可 以 使 
编码 方式 


目前 广泛 使 用 


乒 


和 


-A 


数字 


As 


符号 


到 几 十 个 MIB 文件 。MIB 文件 的 
总 体 分 为 RFC 定义 的 标准 MIB 和 各 


的 是 


义 的 SMIv2 两 入 


(SMI 


表 2-25 标准 MIB 


即 可 使 


名 称 说 明 

System 5 设备 有 关 的 信息 

interfaces 与 接口 有 关 的 信息 

at 与 ARP 有 关 的 信息 

ip IP 信 息 

ipAddrTable 与 JP 地 址 有 关 的 IP 寻 址 表 信息 

ipRouteTable IP 路 由 表 相关 信息 

ipNetToMediaTable IP 地 址 转换 表 相 关 信 息 

ipForward IP 转 发 表 相关 信息 

icmp ICMP 信 息 

tcp TCP 信 息 

udp UDP 信息 

egp EGP 

ppp PPP 信 息 

frame-relay 帧 中 继 信 息 

snmp SNMP 信 局 

ospfGeneralGroup OSPF 信 息 

ospfAreaTable OSPF 中 与 区 域 有 关 的 信息 

ospfStubAreaTable 在 区 域 边缘 路 由 器 中 用 于 stub area 广 播 的 信息 

ospfLsdbTable 在 OSPF 过 程 中 表示 连接 状态 的 数据 库 信 息 

ospfAreaRangeTable 路 由 器 连接 区 域内 的 地 址 范围 信息 

ospffIfTable 路 由 器 连接 的 信息 

ospfIfMetricTable 各 个 接口 的 服务 类 型 信息 表 

bgp BGP 信 息 

bgpPeerTable bgp Peer 信 息 

bgpPathAttrTable 从 BGP4 中 接收 的 路 径 信息 

if{MIB 接口 的 扩展 信息 
在 MIB 文件 中 管理 的 信息 称 为 托管 对 象 (Object ， 其 中 包含 了 接口 的 Ip 地 址 、 路 由 协议 的 设置 情 
况 等 信息 。 
托管 对 象 都 有 属于 自己 的 分 类 ， 如 接口 的 相关 信息 、OSPF 的 相关 信息 、 传 感 吉 (CPU 或 温 探 管理 ) 
的 相关 信息 等 。 
私有 MIB 一 般 会 将 各 类 别 的 MIB 信息 导入 扩展 名 为 “.my” 的 纯 文本 文件 中 ， 然 后 公布 在 制造 三 商 的 
Web 站 点 上 ， 一 般 会 有 像 attack.my、senser.my 这 样 的 多 个 分 散文 件 ， 所 以 会 以 归档 文件 (将 所 有 分 
散 的 文件 压缩 成 一 个 zip 包 ) 的 形式 公布 。 
如 果 使 用 ] 商 的 路 由 器 设备 ， 当 想 要 查询 该 路 由 器 私有 MIB 时 ， 就 可 以 打开 该 厂商 的 Web 站 
点 ， 下 载 该 路 由 器 所 使 用 的 MIB 信息 文件 (zip 格式 ) ， 然 后 将 其 注册 到 SNMP Manager 中 ， 

该 SNMP 文件 中 提 到 的 托管 对 象 名 管理 网 络 硬件 。 

OID 
MIB 是 所 有 托管 对 象 的 集合 ， 而 托管 对 象 使 用 OID (Object ID ， 对 象 标识 ) 进行 区 分 。MIB 采 树 


形 构造 ，OID 则 采 
iso (1) 
system (1) 。 


如 


1 的 org (3) 


命令 行 追 踪 式 的 SNMP 应 
输入 以 下 命令 ， 


如 1.3.6 1.2.1.1 这 这 样 数字 与 点 的 


1 的 dod (6) 中 的 


程序 通过 消 


by 


类 型 和 OID 的 组 


懈 式 来 


首 述 。 该 记 法 按照 从 z 


internet (1) 


的 mgmt (2) 中 的 MIB-IT (1) 


到 不 


来 执行 相关 操作 。 例 如 在 SNMP 管理 


的 顺序 阅读 ， 
) 中 的 


> snmp get 1.3.6.1.2.1.1.1 


就 能 获得 SNMP 代理 者 返回 的 1.3.6.1.2.1.1 的 MIB 值 。 
SNMP 管理 者 


有 很 多 SNMP 管理 者 相关 的 软件 产品 可 供 使 用 ， 如 UNIX 的 SNMP daemon (snmpd) 、HP 公司 的 

OpenView Network Node Manager、 思 科 公 司 的 CiscoWorks 等 。 男 外 ， 在 Internet 上 还 有 TWSNMP 、 
wSnmpTrap、SnmpCop 等 供 Windows 使 用 的 免费 SNMP 管理 者 软件 。 如 果 仅 仅 是 用 来 验证 ， 那 么 免 
费 的 SNMP 管理 者 软件 就 已 经 够 了 。 


下 载 并 安装 SNMP 管理 者 软件 之 后 ， 输 入 SNMP 代理 者 的 IP 地 址 等 设置 信息 ， 并 将 私有 MIB 信息 
在 SNMP 管理 者 软件 中 进行 注册 。 另 外 ， 也 可 以 使 用 团体 名 将 需要 管理 的 SNMP 代理 者 信息 设置 在 
SNMP 管理 者 软件 中 。 然 后 就 可 以 进行 各 种 操作 了 ， 比 如 从 SNMP 代理 者 获取 信息 ， 设 立 通 信 信 息 
采集 周期 、 定 期 获取 所 需 的 统计 信息 等 。 


RMON 


I 


SNMP 中 还 带 有 名 为 RMON (Remote network MONitoring ， 远 程 网 络 监控 ) 的 扩展 功能 。SNMP 代理 
者 记录 LAN 上 的 通信 流量 信息 ， 并 将 其 保存 到 MIB 数据 库 中 。 当 SNMP 管理 者 请 求 这 类 信息 时 ， 
SNMP 代理 者 会 在 应 答 中 返回 该 类 信息 ， 从 而 实现 远程 网 络 监控 的 功能 。 


交换 机 除了 实现 SNMP 基本 功能 之 外 ， 还 必须 实现 RMON 探测 (probe) 功能 (有 时 也 会 将 该 功能 独 
立 到 NetScout 这 类 专用 设备 上 ) 。RMON 探测 功能 就 是 捕获 分 组 ， 解 析 后 收集 统计 信息 并 将 其 保存 
到 名 为 RMON MIB 的 MIB 数据 库 中 。SNMP 管理 者 通过 访问 RMON MIB 即 可 获取 相关 的 统计 信 
息 。 虽 然 SNMP 自身 也 能 够 在 一 定 程度 上 获取 流 经 网 络 硬件 接口 的 字 节 数 和 分 组 数 等 信息 ， 但 使 用 
RMON 获取 的 通信 统计 信息 更 为 详细 。 


RMON 和 其 他 收集 统计 信息 的 功能 ， 原 本 是 用 于 通过 监控 网 络 ] 炭 入 的 通信 流量 ， 仿 查 网 络 带宽 是 否 
足 、 某 些 网 段 流量 是 否 有 起 落 异 常 等 情况 ， 以 便 日 后 能 够 进行 一 些 增强 设备 性 能 、 优 化 服务 设置 等 
稳定 网 络 的 调整 。 


然而 最 近 ， 于 安全 方面 的 网 络 监控 越 来 越 多 ， 在 网 络 审计 记录 中 会 记录 “ 谁 在 什么 时 候 访 问 了 什么 
站 点 ”这 类 信息 。“ 谁 ”一 般 记 录 的 是 MAC 地 址 或 IP 地址 ， 但 如 果 连 接 了 认证 服务 器 的 话 ， 甚 至 能 够 
记录 用 户 的 ID 信息 。 


调 


三 


0 


RMON MIB 中 分 为 RMON-1 与 RMON-2 两 个 版 本 ( 表 2-26) 。 


表 2-26 RMON MIB 


设置 内 容 说 明 
RMON-1 收集 物理 层 与 数据 链 路 层 的 通信 统计 信息 ， 与 MIB-II 的 接口 组 (Interface Group) 一 起 使 用 。 下 面 是 MIB 
(RFC1757) | 组 信息 


名 称 说 明 
ethernet statistics ”| 通过 探测 功能 收集 每 个 以 太 网 接口 的 统计 信息 
history control 定期 抽样 调查 的 历史 统计 信息 
ethernet history 和 以 太 网 有 关 的 历史 统计 信息 


alarm 在 某 个 时 间 段 内 ， 当 数据 量 超过 设置 的 阐 值 时 生成 的 告警 
host 与 每 个 主机 相关 联 的 统计 信息 

hostTopN 在 交互 最 多 的 主机 间 生 成 的 统计 信息 

matrix 两 个 地 址 之 间 生 成 的 、 和 通信 相关 的 统计 信息 


filter 生成 作为 分 组 捕获 规则 的 过 滤器 
packet capture 根据 过 滤器 捕获 的 分 组 信息 
event 关于 事件 发 生 与 通知 的 信息 
于 获得 网 络 层 以 上 的 统计 信息 ， 属 于 RMON-1 的 扩展 。 下 面 是 MIB 的 组 信息 
名 称 说 明 
protocol directory 提供 协议 的 种 类 
Protocol distribution 根据 协议 的 种 类 提供 统计 信息 
address mapping 提供 MAC 地 址 和 耳 地 址 映射 信息 
RMON-2 network layer host 各 网 络 地 址 的 统计 信息 
(RFC2021) network layer matrix 页 个 网 络 地 址 之 间 的 统计 信息 
application layer host 某 台 主 机 上 各 应 用 程序 的 统计 信息 
application layer matrix 丽 个 网 络 之 间 各 应 用 程序 的 统计 信息 
User history 管理 历史 信息 户 可 制定 管理 的 时 间 间 隔 和 次 数 
probe configuration 管理 探测 本 身 关机 忆 、 
管理 LAN 交 换 机 的 RMON 扩 展 标准 ， 即 交换 监控 (Switching Monitoring) ， 定 义 了 名 为 SMON 
ProbeCapabilities 的 MIB 组 信息 
名 称 说 明 
SMON smonVlanStats 管理 IEEE 802.1Q 时 使 
(RFC2613) smonPrioStats 管理 802.1Q 中 通信 流量 的 优先 级 
dataSourceCaps 硬件 的 数据 源 
portCopyContfig 控制 交换 机 的 镜像 端 
Interface 
Parameters 定义 了 名 为 IfTopN (interfaceTopNObjects) 的 托管 对 象 。 I 表示 Interface， TopN 表 示 前 N 位 的 统计 信息 。 
Monitoring 当 LAN 交 换 机 存在 多 个 端口 时 ， 从 中 抽取 负载 较 高 的 端口 进行 统计 
(RFC3144) 
DSMON 差分 服务 监控 (Differentiated Services Monitoring) ， 能 够 对 DSCP (differentiated services code point， 差 
(RFC3287) | 分 服务 代码 点 ) 优先 级 控制 进行 分 类 的 RMON 扩展 MIB 
SMC 大 流量 远程 网 络 监控 (High Capacity RMON) 在 六 流 生 通信 环境 中 获取 通信 统计 信息 时 的 功能 扩 
(REC3273) he A 展 为 64bit， 将 最 大 统计 字 节 数 从 2 的 32 次 方 (42 亿 ) 指数 翻 倍 扩展 为 2 的 


3 这 里 的 数据 库 仅仅 是 指 一 种 数据 的 管理 方式 ， 同 关系 型 数据 库 没有 任何 关系 


。 一 一 译 者 注 


| 33 ASN.1 多 用 于 描述 


种 系统 之 间 半 


NetFlow 、 sFlow 


虽然 很 多 交换 机 都 采 REFC 标准 的 RMON， 但 
100Mbits， 就 会 需要 占用 大 量 CPU 或 内 存 等 


行 通信 的 消息 格式 ， 也 是 


BNF 符号 。 一 一 译 者 涩 


Ht 


是 在 进行 基于 


[I 


资源 ， 


不 仅 无 法 实现 内 容 全 部 监控 ， 


MIB 的 监控 时 ， 如 果 流 量 超过 
获取 大 量 数据 


而 且 


会 耗 时 过 长 导 


致 数据 无 法 实时 解析 。 要 想 实 时 获 


取 所 需 的 统计 信 


Do ， 


就 时 F 要 使 


] NetFlow 或 sFlow 技 


术 。 通 过 这 类 技术 可 以 获得 LAN 的 流量 内 容 信 息 ， 并 高 效 管理 网 络 性 能 。 
o NetFlow 
NetFlow 是 由 思科 公司 开发 的 通信 流量 管理 技术 ， 在 Linux 和 Unix 系列 操作 系统 、 Juniper 网 络 
公司 和 ALAXALA 网 络 公司 的 网 络 硬件 上 也 可 实现 。 该 技术 对 通过 LAN 设备 的 分 组 进行 识别 ， 
将 与 “发 送 源 IP 地 址 ”发 送 目的 地 IP 地 址 ”发 送 源 端口 “发 送 目 的 地 端口 ”IP 协 议 号 "< 答 入 接 
”IP 的 ToS 值 * 这 7 个 参数 相 一 致 的 单 向 传送 的 分 组 集合 定义 为 “数据 流 ”， 并 对 该 数据 流 进 行 


统计 。 随 后， 将 | 结果 发 送 到 名 为 NetFlow 收集 器 的 监控 装置 中 ， 就 能 够 以 地 址 或 协议 为 单位 
进行 信息 的 二 次 统计 (图 2-34) 。 

A NN~ > 

,全 入 ( AN 

C LAN Y 人 LAN y 终端 

\_x LA 和、 入 4 Ns < ED ee 
We 2 
EE | uN ~ 
\ 


NetFlow 
Exporter 


ae 


图 2-34 NetFlow 的 概念 图 


NetFlow 有 很 多 版 本 ， 最 新 的 版 本 NetFlow 9 是 上 
之 外 ， 其 人 


NetFlow 


Analyzer 
Collector 


Storage 


RFC3954 的 形式 发 布 的 。 另 外 ， 除了 NetFlow 


也 厂商 还 实现 了 将 通信 流量 以 数据 流 为 六 


位 进行 统计 的 技术 4 ， 不 过 这 些 技术 均 是 在 


NetFlow 9 的 基础 上 作为 IPFIX (IP Flow Information export) 在 RFC5105 中 完成 了 标准 化 。 


sFlow 


sFlow 是 由 InMon 开发 的 一 种 在 分 引 
的 细节 在 RFC3176 中 发 布 ， 并 在 Foundry 公司 、 


(packet) 抽样 


基 


上 管理 通信 流量 


人 而 E 通 信 流 量 的 技术 。 该 技术 版 本 4 
立 公 司 、HP 公司 以 及 Force10 Networks 公司 


日 3 


(以 下 简称 为 Forcel0 公司 ) 3 的 LAN 交换 机 产 


多 上 得 到 了 具体 的 实现 。 


HD 


sFlow 技术 可 以 监控 交换 机 上 通过 2 


并 在 一 


进行 抽样 ， 获 得 分 组 首部 与 监控 


人 


司 期 内 对 


到 的 分 组 的 统计 信息 (如 分 组 总 数 、 
收集 器 上 报 (图 2-35) 。sFLow 收集 
处 理 ， 0 席 计 不 同类 型 的 通信 信息 。 
一 点 ， 因 此 能 够 嵌入 到 ASIC 硬件 


妆 数 竺 ) 
如 将 得 到 的 信 ， 
在 交换 机 中 ， 


过 交换 机 内 置 的 sFlow 代理 向 sFlow 
按 接收 发 方 地 址 类 型 、 协 议 类 型 等 进行 分 类 
sFlow 的 监控 功能 与 RMON 相 比 更 为 简单 


然后 通 


:DA 


| 


， 也 能 够 进行 


高 速 通 信 。 


使 用 SNMP 与 MIB 
设置 sFlow 


sFlow 代 理 
( 交换 机 或 路 由 器 ) 


UDP/161 


a sFlow 代 理 UDP/6343 
功能 实体 


通过 专用 硬件 对 经 过 的 分 组 定期 向 收集 器 发 送 
或 接口 计数 器 信息 进行 抽样 ) | 抽样 数据 


※ 是 否 使 用 SNMP MIB 为 可 选项 
图 2-35 ”sFlow 的 概念 图 


34 如 Juniper 公司 的 Jflow 和 cflowd、3Com 公司 / 华为 公司 的 NetStream、 阿 尔 卡特 朗讯 公司 的 Cflowd、 爱 立信 公司 的 Rflow 、Citrix 
公司 的 AppFlow 等 。 


| 35 该 公司 于 2010 年 被 戴尔 公司 收购 。 


Syslog 


Syslog 是 在 加 利 福 尼 亚 大 学 伯克利 分 校 的 伯克利 软件 套件 (BSD，Berkeley Software Distribution) 的 
TCP/IP 系统 3% 上 实现 的 ， 用 于 获取 网 络 日 志 的 应 用 程序 ， 一 般 占 用 UDP 的 514 端口 。 


| 36 即 BSD Unix 操作 系统 。 一 — 译 者 注 


该 机 制 虽然 没有 通过 IETF 组 织 进 行 标准 化 ， 但 符合 业内 的 事实 标准 (De facto standard) ， 所 以 在 很 
多 操作 系统 上 都 进行 了 移植 ， 而 且 在 RFC3164 协议 中 的 Information 一 节 也 有 对 于 该 机 制 的 介 绍 。 


2 的 运行 方式 同 SNMP 的 Trap 相似 ， 仅 仅 由 通信 设备 单方 面向 Syslog 服务 器 发 送 事 件 消 息 (图 
2-36) “。 


路 由 器 等 Syslog 服 务 器 


网 络 


Event mmmmnnnnsn 罗 


图 2-36 ”Syslog 的 结构 


we 重要 程度 分 成 不 同 的 级 别 ， 最 重要 的 级 别 为 0， 不 重要 的 级 别 为 7， 一共 分 成 8 级 
=27 o 


表 2-27 Syslog 消息 的 级 别 划分 


级 别 重要 程度 (Severity) 说 明 

0 Emergency (致命 ) 系统 无 法 使 

1 Alert (告警 ) 需要 及 时 应 对 

2 Critical (危急 ) 出 现 危 险 状 况 

3 Error (异常 ) 出 现 异 常 状 态 

4 Warning (注意 ) 出 现 需 要 注意 的 事项 

5 Notice (通告 ) 在 正常 范围 内 允许 的 特殊 状态 

6 Informational (信息 ) 告知 某 个 信息 的 消息 

Debug (调试 ) 于 调试 的 消息 
在 实际 的 产品 中 可 以 设置 Syslog 日 志 从 哪个 级 别 开 始 记录 ， 当 设置 完毕 后 ， 该 级 别 以 上 的 所 有 日 志 
言 息 均 会 告知 服务 器 。 
例如 在 Cisco IOS 中 进行 以 下 设 定 ， 从 级 别 0 至 级 别 6 的 所 有 日 志 信 息 均 会 送 到 Syslog 服务 器 。 


router (config) # logging trap 6 


syslog 除了 级 别 以 外 ， 还 有 一 个 名 为 设施 (facility) 的 设置 项 ， 用 来 告知 系统 在 何 处 生成 日 志 。 
Facility 能 够 定义 内 核 、 邮 件 系 统 、FTP 守护 进程 、NTP 和 内 部 使 用 的 local0~local7 等 值 ，i 
可 以 参考 RFC3164 协议 。 


Syslog 的 消息 格式 如 下 所 示 。 


于 
HT 
NSS 
NS 
CA 


mm/dd/yyy :hh/mm/ss:facility-severity-MNEMONIC:description 
(月 /日 /年 /时 /分 / 秒 : facility-level-event 类 型 说明) 


举 个 具体 的 例子 。 


12/26/2003,16:00:15:SYS-5-MOD_INSERT: Module 5 has been inserted 


让 中 “12/26/2003,16:00:15” 表 示 日 期 与 时 间 ，SYS-5-MOD_INSERT 中 通过 “-” 分 割 信息 ，SYS 表示 
facility 名 称 ，5 表示 级 别 ，MOD_INSERT 表示 事件 类 型 (mnemonic code， 助 记 符 ) ， 最 后 
的 “Module 5 has been inserted” 表 示 事 件 描述 。 


Syslog 和 SNMP 同属 于 管理 类 型 的 协议 ， 考 虑 到 实时 性 的 要 求 ， 一 般 采 用 UDP 来 实现 。 但 在 某 些 硬 
件 中 也 有 采用 TCP 来 实现 的 例子 ， 这 时 就 需要 在 Syslog 服务 器 以 及 发 送 事件 的 硬件 上 配置 必要 的 
Syslog 端 


在 FreeBSD 以 及 Linux 般 使 用 syslogd 这 一 守护 进程 来 实现 Syslog 的 相关 功能 。 


02.09 ”交换 机 架构 


交换 机 的 基本 架构 是 由 带 有 多 个 RJ-45 接口 、PHY、MAC 等 模块 的 网 络 接口 控制 器 (Network 
Interface Controller， 简称 NIC) 和 管理 由 各 个 NIC 分 配 的 收发 由 缓存、 转发 表 的 软件 (或 ASIC) 组 
成 ， 通 过 参考 转发 表 信息 ,在 NIC 之 间 进 行 数据 帧 交互 。 


图 2-37 展示 了 交换 机 的 基本 架构 。 


坏 


MAC 地 址 端口 号 ”有 效 期 限 
00:11:22:aa:bb:cc 1 300 秒 


| ] 


学 习 ( Learning ) 帧 缓存 
“学 习 发 送 方 的 MAC 地 址 


* 向 转发 表 中 添加 信息 
转发 ( forwarding ) 
“识别 目的 地 MAC 地 址 
“ 搜索 转发 表 
* 像 发 送 源 端口 转发 数据 帧 


NIC 


图 2-37 交换 机 的 基本 架构 
02.09.01 ”网 络 控制 器 (LAN 控制 器 ) 


在 个 人 计算 机 和 网 络 硬件 内 部 ， 均 有 一 种 叫做 网 络 控 制 器 〈 或 称 为 LAN 控制 器 ， 缩 写 为 NIC) 的 模 
块 。 该 控制 器 能 够 将 数据 转换 成 以 太 网 数据 帧 ， 以 10/100/1000BASE-T 标准 通过 接口 进行 数据 传输 。 
网 络 控制 器 的 概念 图 如 图 2-38 所 示 ， 控 制 器 有 多 个 端口 (或 多 个 端口 模块 单元 ) 。 


网 络 控 制 器 一 般 由 网 络 接 口 、PHY 模块 、MAC 模块 和 总 线 接 口 构成 。 


的 


(单一 端口 的 LAN 控 制 器 


8/16/32bit 10/100B TX、 
通用 总 线 、 100Base SX、 
PCI 总 线 、 10Base SL 
SPI 总 线 
连 至 网 络 
设备 的 CPU 
物理 端口 
( 双 端 LAN 控制 器 ) 10/100B TX、 
一 1 
8/16/32bit sa 
通用 总 线 、 
PCI 总 线 、 
SPI 总 线 
[sa] ca 
连 至 网 络 汪 物理 端口 
设备 的 CPU 入 
(CD 


图 2-38 网络 控 制 器 概念 图 
02.09.02 ”PHY 模块 


2 MAC 子 层 相关 协议 功能 的 实现 一 般 会 使 用 对 应 标准 的 处 理 蕊 片 (集成 
电 六 元 戊 。 


负责 对 以 太 网 进行 编码 等 物理 层 处 理 的 模块 就 叫做 PHY。 


图 2-39 是 PHY 的 逻辑 图 ， 展 示 了 PHY 中 有 哪些 功能 以 及 这 些 功 能 是 按 什么 顺序 进行 处 理 的 。 表 2- 
28 中 则 展示 了 100BASE-TX 标准 中 PHY 模块 内 部 的 处 理 流 程 。 


V 


10BASE-T 
4 二 fT 10M 线 路 
曼彻斯特 编码 驱动 


100BASE-TX 


广发 送 


四 100BASE-FX 
pd 
Ee 
100BASE-FX 接收 100BASE-FX 
器 、 时 钟 翻转 、NRZI DPECL|4—— 
向 NRZ 转换 
转发 Ro BASE-IX 
NRZ 转 换 on. 
广 受信 


曼彻斯特 解码 10M 时 钟 | 10BASE-T 
到 翻转 
二 


DPECL : Differential Positive Emitter-Coupled Logic ( 差分 正 射 极 耦合 逻辑 电路 ) 
PLL :，Phase-locked loop ( 锁 相 环 ) 

FEFI :，Far End Fault Indication ( 链 路 远 端 故障 指示 信号 ) 

D/A : 数 模 转换 

A/D : 模 数 转换 


NRZ 向 
NRZI 转 换 


5B 至 4B 转换 、 
解 扰 码 、FEFI 
解码 反串 行 化 、 
接收 状态 装置 、 
链 路 监控 


图 2-39 10/100BASE 以 太 网 的 PHY IP37 核心 


| 37 这 里 的 JP 是 指 Intellectual Property， 为 芯片 行业 支持 产权 设计 。 一 一 译 者 注 


表 2-28 100BASE TX 标准 中 的 发 送 与 接收 处 理 概 要 


. 控制 器 接收 数据 
发 送 至 4B5B 编码 器 格式 化 
发 送 至 扰 码 器 编码 

. 转发 至 TP 发 送 器 ， 转 换 为 MLT3 格式 
形成 输出 信号 在 双 绞 线 上 传输 


双 绞 线 上 接收 到 MLT-3 数据 

排除 高 频 噪声 ， 使 输入 的 信和 号 平整 

使 用 Squelch algorithm 算法 控制 接收 数据 ， 完 成 MLT-3 编码 信号 的 数字 化 
在 时 钟 与 数据 恢复 区 内 完成 NRZ 格式 的 转换 

在 Descrambler 中 完成 解 扰 码 ， 并 完成 4B5B 解码 

在 以 太 网 控制 器 上 输出 


100BASE-TX 的 发 送 处 理 


| 


100BASE-TX 的 接收 处 理 


oh 


MU 


1 MAC 


如 表 2-29 所 示 ，PHY 负责 L1 (物理 层 ) 的 处 理 ， 分 成 三 个 子 层 完 成 L2 (数据 链 路 
(Media Access Control， 媒 介 访 问 控制 层 ) 以 下 的 处 理 (图 2-40) 。 


表 2-29 PHY 的 地 位 


OSI 层 处 理 内 容 
MAC (L2) 生成 MAC 数 据 帧 


PHY |PCS (Physical 完成 MAC 数 据 帧 的 编码 。 在 100BASAE-TX 中 完成 4B/5B 编 码 、 标 明 数 据 首部 与 结尾 、 插 入 
(L1) | Coding Sublayer) “| 12 字 节 (96bit) 的 数据 帧 分 割 标 识 IFG (Inter-Frame Gap) 


人 (Physical 。 | 在 数据 发 送 前 将 并 行 转 换 为 串 行 (将 从 并 行 链 路 获得 的 数据 序列 变换 为 单个 品行 的 比特 
人 流 ) 以 及 在 接收 数据 后 将 串 行 转换 为 并 行 


PMD (Physical “| 在 数据 发 送 前 调制 串 行 比特 流 信号 ， 使 信号 适合 在 双 绞 线 或 光纤 等 媒介 上 传输 。 另 外 ,在 
Medium 接受 数据 之 后 还 负责 放大 信号 。 在 100BASE-TX 中 ， 将 2 值 信 号 转变 成 MLT 的 3 值 信号 


| | Dependent) | 


Ee 4bit 符 号 
rE i 可 时 a 加 4 

请 | 5bit 符 号 
1E3 DE 证 欧 

数字 信号 
ii BE 

MLT-3 格 式 


传输 媒介 
2-40 PHY 与 MAC 的 处 理 


02.09.03 ”MAC 模块 


MAC 模块 负责 


生成 MAC 数据 帧 等 在 数据 链 路 层 MAC 子 层 中 进行 的 工作 ， 该 模块 也 简称 为 MAC 。 


MAC 模块 负责 MAC 数据 帧 发 送 和 接收 的 处 理工 作 ， 拥 有 发 送 缓存 和 接收 缓存 。 在 接收 MAC 数据 帧 


是 ， 
在 接收 缓存 中 


从 通信 线 缆 上 接收 的 数据 在 通过 MAU (10Mbit/s 以 太 网 ) 或 PHY (快速 以 太 网 ) 时 ， 会 被 保存 


， 因 此 这 里 的 MAU 和 PHY 也 可 称 为 接收 器 。 随 后 ， 这 些 数据 会 通过 数据 总 线 接口 被 


送 到 硬件 (DTE) 内 部 进行 处 理 。 而 在 发 送 MAC 数据 帧 时 ， 数 据 则 走 与 上 述 截 然 相反 的 路 径 。 图 2- 


41 给 出 了 在 千 兆 以 太 网 中 MAC 模块 的 逻辑 结构 图 。 


识别 地 址 


接收 
FIFO 
队列 


10/10/1000 
送 到 GMIVMII 


流向 1G 


PMA 接口 物理 接口 


控制 数据 流 
10/10/1000 生成 发 送 
4 一 | 发 送 MAC pause FIFO ”| 和 一 
处 理 信号 队列 
管理 MIl 


图 2-41 千 兆 以 太 网 中 MAC 的 IP 核心 逻辑 结构 图 


02.09.04 AUI 与 MII 


MAC 模块 与 PHY 模块 之 间 的 接口 根据 以 太 网 、 快 速 以 太 网 、 千 兆 以 太 网 的 不 同 ， 分 别 可 以 称 为 
AUI、MIIL 和 GMI (如 图 2-42、 表 2-30) 38 。 


| 过 早期 以 太 网 传输 媒介 众多 ，PHY 相对 独立 ，MAC 则 相对 通用 ， 二 者 可 能 分 别 位 于 不 同 硬件 中 。 译 者 注 


100Mbit/s: MIl 


MAC 一 一 一 >| 的 | 和 一 转换 器 一 < 一 一 MDI 
二 ey 100BASE-FX 
昌 光纤 
4B5B 编 码 *FUI Duple 
MII 线 缆 i es 


100Mbit/s 的 | 一 
交换 式 集线器 100BASE-TX 
UTP/Cat.5,STP 


4B5B 编 码 *Auto-Nego 


( 最 长 0.5m ) 


100BASE-T4 
UTP/Cat.3 


PHY = 
8B6T 编 码 "Auto-Nego 


10Mbit/s 的 


中 继 集线器 | 本 10BASE-5 


AUI 线 缆 


AUI ( 最 长 50m ) 同 轴 电 缆 
( 曼彻斯特 编码 ) 
图 2-42 MAC 与 PHY 之 间 的 接口 
表 2-30 MAC 与 PHY 之 间 的 接口 术语 
术语 名 称 说 明 
在 10Mbit/s 以 太 网 中 MAC 与 MAU 的 共同 接口 ， 采 用 15pin 的 连接 头 (DB-15) 。 某 些 早期 的 路 由 器 和 集 
线 器 设备 会 外 置 该 AUI 端 口 (也 称 为 10BASE5 接 口 ) ， 但 目前 的 硬件 几乎 都 采用 了 内 置 的 形式 


AUI 


(Attachment [SNEED 
Oh ss 
Interface， 附 
加 接口 单元 ) 


AUI 端口 


术语 名 称 说 明 


完成 接收 和 发 送 10Mbit/s 以 太 网 数据 的 转换 器 装置 。 分 为 10BASE-T MAU、10BASE5 MAU、10BASE2 


MAU 
pc 

MAU (Media 2 A ON. 4 

Access Unit, gl Cenfsss en 

媒介 访问 单 oy | 2 

元 ) 图 | 人 @ 芭 二 


10BASE5/10BASE2 转换 的 MAU 10BASE5/10BASE-T 转换 的 MAU 


MII (Medi 快速 以 太 网 中 的 MAC 与 PHY 之 间 的 接口 ， 相 当 于 10Mbits 以 太 网 中 MAC 与 MAU 之 间 的 AUI 。 在 
Tndeverdent ”| 100BASE-T4 中 需要 完成 8B6T 编 码 ， 在 100BASE-TX 和 100BASE-FX 中 需要 完成 4B5B 编 码 〈 即 根据 传输 
Itelface， 媒 “| 媒介 li ey 使 用 MII 将 设备 接 入 以 太 网 并 不 依赖 于 传输 媒介 。 在 实际 产品 
介 独 立 接 中 ，NIC (网 络 楼 口 控制 器 /上 MAC 与 PHY 的 接口 部 分 ，MAC 层 通常 保持 不 变 ， 只 根据 传输 媒介 的 不 
“ 同 替换 掉 物 理 接口 部 分 即 可 


ss 


GMII (Gigabit 
Media 
Independent | 在 千 光 以 太 网 和 万 兆 以 太 网 中 ， 和 MII 作 用 相同 的 接 


人 独立 接 


第 3 章 ”路 由 器 和 它 硕 大 的 功能 


本 章 将 介绍 路 由 器 的 历史 、 种 类 、 功 能 、 架 构 等 内 容 。 

希望 大 家 可 以 通过 本 章 的 内 容 理 解 路 由 器 产品 目录 中 列 出 的 条 目 。 
另外 ， 本 章 还 会 复习 一 些 IP 寻 址 、 路 由 的 内 容 。 

以 及 介绍 以 太 网 之 外 的 路 由 器 特有 的 物理 层 和 链 路 层 的 相关 标准 。 


03.01 何 为 路 由 器 


路 由 器 是 指 主要 负责 OSI 参考 模型 中 网 络 层 的 处 理工 作 ， 并 根据 路 由 表 信息 在 不 同 的 网 络 之 间 转 发 
IP 分 组 的 网 络 硬件 (图 3-1) 。 这 里 的 网 络 一 般 是 措 人 于 网 ， 也 可 以 称 为 广播 域 。 此 外 ， 现 在 的 路 由 
器 还 会 搭载 其 他 各 种 各 样 的 功能 。 


OSI 参考 模型 


数据 链 路 层 


物理 层 


图 3-1 OSI 参考 模型 与 所 对 应 的 网 络 硬件 
03.01.01 路 由 器 的 必要 性 


数据 链 路 层 


TCP/IP 分 层 模型 


网 络 硬 件 


应 用 层 防 火 墙 、 
L7 交 换 机 、 
IDS/IPS 等 
表示 层 


路 由 器 、L3 交 换 机 


防火 墙 、L4 交 换 机 


网 桥 、L2 交 换 机 


中 继 器 


在 某 个 组 织 的 内 部 网 络 中 ， 如 果 其 中 的 I 连接 男 一 个 LAN， 就 需要 使 用 路 由 器 设备 。 男 
外 ， 构 建 大 型 的 LAN 时 虽然 可 以 不 用 但 需要 使 用 交换 机 或 主机 等 设备 来 管理 大 量 的 MAC 
地 址 信息 ， 不 过 ， 当 频繁 进行 广播 通信 时 ， “设备 的 负担 就 会 下 常 大 。 这 种 情况 下 ， 为 了 减轻 设备 的 负 
旧 ， 需要 将 LAN 划分 成 一 个 个 子 网 ， 而 每 一 个 子 网 之 间 的 通信 就 需要 依靠 路 由 器 进行 了 。 
在 为 了 连接 互联 网 而 与 互联 网 服务 供应 商 建立 连接 时 ， 也 同样 需要 用 到 路 由 器 设备 。 
03.01.02 什么 是 路 由 选择 
路 由 器 进行 IP 分 组 路 径 选 择 的 处 理 即 为 路 由 选择 (routing) 。 
路 由 器 从 输入 接口 处 收 到 IP 分 组 后 ， 根 据 其 首部 包含 的 发 送 目的 地 址 信息 进行 路 径 选择 ， 并 按照 选 
择 结 果 将 卫 分 组 转发 到 流出 接口 处 。 其 中 转发 的 路 线 叫 做 路 径 ， 而 路 由 器 在 路 由 选择 处 理 时 所 参考 
的 信息 叫做 路 由 表 (routing table) ( 表 3-1) 。 路 由 器 通过 这 些 信息 可 以 决定 将 收 到 的 IP 分 组 转发 到 
哪个 网 络 。 路 由 表 由 多 个 路 由 表 表 项 构成 ， 其 中 每 个 表 项 都 可 以 由 管理 者 手动 设置 ( 即 静 态 ) ， 
也 可 以 根据 路 由 协议 自动 生成 ( 即 动态 路 ° 
表 3-1 和 路 由 有 关 的 术语 
术语 说 明 
路 径 (route) 路 由 器 转发 分 组 的 路 径 
路 由 选择 (routing) 在 完成 路 径 选 择 后 ， 将 分 组 发 送出 去 ， 这 一 过 程 称 为 


表 表 项 (routing table 


entry) 路 由 器 在 进行 路 由 选择 时 参考 的 路 径 信息 ， 的 网 络 与 下 一 跳 (Next Hop) 构成 
路 由 表 (routing table) 路 由 表 表 项 的 集合 体 ， 路 由 器 进行 路 由 选择 处 理 时 需要 参考 该 表 内 容 


路 由 选择 处 理 在 网 络 层 中 完成 ， 其 过 程 如 图 3-2 所 示 。 


ph 


IP 地 址 控制 ( 路 由 选择 ) 
MAC 地 址 控制 . 


IP 子 网 的 范围 ( 广播 域 ) 
图 3-2 “OSI 参考 模型 中 路 由 选择 发 生 的 位 置 


03.01.03 ”转发 


路 由 选择 的 处 理 需 要 根据 目的 地 IP 地址 中 的 信息 ， 判 断 将 分 组 转发 到 哪个 网 络 。 发 送 至 不 同 网 络 距 
是 指 在 路 由 器 中 的 某 个 流入 接口 处 接收 分 组 ， 然 后 将 其 发 送 到 其 他 的 某 个 流出 接 


将 分 组 从 流入 接口 发 送 到 流出 接口 的 物理 发 送 过 程 叫做 转发 (图 3-3) 。 


I 


hE ey 


存在 重复 路 径 的 话 ， 依 据 管辖 距 


离 ( Administrative Distance ) 


选择 对 应 的 表 项 


RIP 
OSPF 


BGP 
Static 


Ed 
ELD 
ELD 目标 


蚁 Cn Cn ea 


输入 分 组 流 输出 分 组 流 


图 3-3 转发 的 组 成 结构 
03.01.04 ”路 由 器 的 功能 


路 由 器 的 主要 功能 如 表 3-2 所 示 。 具 体 功 能 请 参考 03.06 市。 
表 3-2 路 由 器 的 主要 功能 


功能 说 明 
路 由 信息 管理 和 动态 路 由 。 从 相 邻 路 由 器 处 获得 路 由 更 新 信息 ， 向 相 邻 路 由 器 发 送 路 由 更 新 
对 分 组 进行 分 类 处 理 、 队 列 以 及 判断 分 组 是 否 可 以 转发 。 对 比比 较 列表 和 分 组 ， 执 行 相关 控制 操作 
L3 交 换 封装 用 于 输出 的 L2 数 据 ， 计 算 L3 的 校 验 总 和 ， 更 新 TTL1 以 及 HOP 数 
a 、 计 费 、 收 集 统计 信 接口 的 统计 信息 、Telnet、 SNMP 、ping 、trace route、HTTP 


| TIL 是 I 了 P 协 议 包 中 的 一 个 值 ， 是 网 络 判 断 分 组 在 网 络 中 的 时 间 是 否 太 长 、 是 否 应 被 丢弃 的 依据 。 一 一 译 者 注 


03.02 ”路 由 器 是 如 何 诞生 的 


路 由 器 的 诞生 与 互联 网 的 诞生 有 着 密切 的 关系 。1962 年 ， 保 罗 : 巴 兰 ?接受 了 美国 空军 的 委托 ， 开 始 
研发 一 个 项 目 。 这 个 项 目 肯 在 研发 美军 在 遭受 核 打击 后 能 够 迅速 组 织 反 击 的 通信 网 络 系统 ， 而 该 项 
也 成 为 了 互联 网 研究 的 开端 。 


| ?Paul Baran, 当时 他 就 职 于 美国 RAND 公司 。 一 译 考 注 


该 项 目 所 研发 的 通信 网 络 系统 并 没有 使 用 当时 较为 流行 的 、 应 用 于 电 充 中 的 线路 交换 方式 ， 而 是 
采用 了 现在 互联 网 依然 使 的 分 组 交换 方式 。 该 交换 方式 以 分 组 为 单位 分 割 信息 ， 并 不 断 地 向 通信 的 
另 一 方 发 送 ， 直 到 对 方 收 到 为 止 ， 在 当时 这 是 一 个 非常 可 靠 的 通信 手段 。 


1969 年 4 月 7 日 ， 首 个 RFC3 一 一 RFC1 发 布 。 该 文件 的 第 一 项 内 容 记 录 了 A Summary of the IMP 
Software (IMP 软件 的 总 结 ) ， 其 中 的 IMP (Interface Message Processor， 接 口 信息 处 理 器 ) 4 是 指 
美国 BBN 公司 5 开发 的 分 组 交换 设备 ， 也 就 是 路 由 器 的 原型 。 同 年 10 月 ， 加 利 福 尼 亚 大 学 洛杉矶 分 
松 与 斯 坦 福 斌 究 所 之 间作 IMP 完成 了 首次 数据 传送 。 同 年 12 月 ， 随 着 加 利 福 尼 亚 大 学 圣 巴巴 拉 分 
校 和 犹他 大 学 的 加 入 ，4 所 学 校 的 网 络 成 功 实现 了 互联 ， 阿 帕 网 (ARPANET) 8 诞生 。 


< 
D 
/ 
二 
La 


上?RFC 是 制定 互联 网 相关 技术 标准 的 团体 下 TF 正式 发 布 时 使 用 的 文件 ， 某 种 程度 上 来 说 该 文件 也 是 建议 书 。 


4 如 果 计 算 机 的 型 号 和 绑 定 的 软件 类 型 不 统一 ， 即 使 将 计算 机 连接 在 一 起 也 是 无 法 进行 互联 的 ， 因 此 必须 按照 计算 机 类 型 制作 相应 的 
软件 。 但 为 了 帮助 计算 机 互联 而 编写 数量 庞大 的 软件 显然 也 是 不 现实 的 。 这 时 ， 如 果 每 个 计算 机 都 有 和 IMP 连接 的 软件 ， 并 且 IMP 
之 间 也 有 相互 连接 的 软件 的 话 ， 通 过 IMP 这 一 设备 就 可 以 完成 网 络 的 扩容 。 


| : 现 为 美国 著名 军火 商 雷 神 公 司 的 子 公司 。 一 一 译 者 注 


a 


6 美国 国防 部 中 的 ARPA (高 级 研究 计划 署 ) 以 军事 为 目的 构建 的 ARPANET， 含 义 为 ARPA 的 网 络 ， 因 此 称 为 ARPANET ( 阿 帕 网 
或 ARP Network) 。1973 了 连接 的 所 有 主机 信息 可 以 参考 RFC597 中 的 记录 。 


出 
es 
污 
全 


是 研究 


， 无 论 是 美 医 


1971 年 ， 阿 帕 网 的 连接 节点 达到 了 15 处 ，1972 年 达到 了 23 处 。 了 
机 构 等 ， 所 有 的 连接 均 通 过 IMP 实现 。 


1972 年 ， 在 ARPA 任职 i E 恩 ”开始 构思 一 种 仅 用 于 分 组 转发 的 特殊 计算 机 ， 他 把 这 种 计算 机 
称 为 Gateway 。 随后 ， 他 和 斯 坦 福 大 学 的 温 顿 . 瑟 夫 8 共同 在 1974 年 发 表 了 TCP (Transmission 


此 


Control Protocol， 传 输 控 制 协议 ) 协议 全 文 。 当 时 的 Gateway 即 现在 的 路 由 器 ，TCP 协议 几经 修订 ， 
已 成 为 TCP/TP 的 重要 组 成 部 分 。 


上” 罗伯特: 埃 利 奥 特 - 卡 恩 (Robert Elliot Kahn，1938 年 12 月 23 ) ， 多 称 为 鲍 勃 . 卡 恩 (Bob Kahn) 。 一 一 译 者 注 


| * 温 顿 瑟 夫 (Vinton G. Cerf) 博士 是 谷歌 公司 副 总 裁 兼 首席 互联 网 家 ， 同 鲍 勃 并 称 为 “互联 网 之 父 ”。 一 一 译 者 注 


在 TCP 出 现 以 前 ， 是 使 用 NCP (Network Control Protocol， 网 络 控制 协 议 ) 协议 将 计算 机 互联 的 ， 但 
于 没有 TCP/IP 那样 完备 的 地 址 体系 ， 因 此 仅 适用 于 小 型 网 络 。1982 年 ， 使 用 NCP 进行 互联 的 主 
机 被 TCP/P 取代 9 。 


| 9 目前 的 PPP 协议 也 包含 了 称 为 NCP 的 协议 ,但 是 与 这 里 的 NCP 是 截然 不 同 的 概念 。 


需要 补充 的 是 ， 此 时 计算 机 的 互联 不 仅 局 限于 使 用 IMP，DEC 公司 的 PDP-11、HP 公司 的 HP-3000 
和 VAN 等 小 型 计算 机 上 通过 UNIX (C 语言 ) 实现 的 网 关 也 被 投入 使 用 。 


03.02.01 ”世界 上 最 早 的 商用 路 由 器 


1986 年 1 月 ， 美 国 的 Proteon 公司 发布 了 首 款 商 用 路 由 器 ProNET p4200 (图 3-4) 。 同 年 3 月 , 美 
2 科 公 司 发 布 AGS 多 协议 路 由 器 (图 3-5) 。 这 些 产 品 均 是 作为 专用 硬件 (网络 设备 ) 出 现在 
| 


| 1 目前 有 关 该 公司 的 资料 极 少 ， 但 领 英 (LinkedIn) 宣称 它 曾 是 最 大 的 路 由 器 市 场 份 额 占有 者 。 一 一 译 者 注 


图 3-4 世界 上 第 一 台 商 用 路 由 器 ProNET p4200 


cisco Systenis 


图 3-5 思科 公司 的 AGS 


1993 年 ， 思 科 公 司 发 布 了 处 理 能 力 达到 270kpps 的 Cisco 7000 系列 ， 并 将 其 作为 高 端 产品 推 向 市 
场 。 该 路 由 器 配备 了 见 余 电 源 、 文 持 热 交换 的 线 卡 、 使 用 内 存 Co en 的 管理 ， 月 
支持 的 协议 也 不 再 仅仅 局 限于 IP 协议 ， 还 能 支持 SNAH 、IPXZ2 、DECnetB 、AppleTalk 等 非 IP 协 
议 © 


>” SNA 是 IBM 公司 开发 的 网 络 体系 结构 ， 在 IBM 公司 的 主机 环境 中 得 到 广泛 的 应 用 。 译 者 注 


12 IPX (Internetwork Packet Exchange protocol) 是 一 个 专用 的 协议 复 ， 主 要 是 Novell NetWare 操作 系统 使 用 。 译 者 注 


13 DECnet 是 美国 数字 设备 公司 推出 并 支持 的 一 组 协议 集合 。 一 一 译 者 注 


之 后 ， 随 着 互联 网 的 快速 普及 ， 市 场 对 能 够 高 效 处 理 通信 流量 路 由 器 的 需求 出 越 来 越 迫切 。 思 科 公 司 
在 1997 年 发 布 了 Cisco 12000 系列 ， 该 系列 产品 能 够 支持 OC-481 (2.4Gbit/s) 以 及 千 兆 以 太 网 接 
口 ，IP 通信 流量 的 转发 能 力也 达到 了 25Mpps。 该 路 由 器 产品 没有 使 用 以 往 共享 总 线 的 交换 方式 ， 而 
是 采用 了 交叉 总 线 交 换 ， 使 得 多 块 线 卡 可 以 并 行 、 高 速 地 转发 通信 流量 。 


14 即 光 学 载波 48。 一 一 译 者 注 
1998 年 ， Juniper 网 络 公 司 开始 销售 M40 系列 路 由 器 ， 该 路 由 器 搭载 了 能 够 高 速 处 理 分 组 转发 的 
ASIC 芯片 ， 处 理 能 力 达 到 40Mpps。 同年， 日 立 制作 所 也 开始 研发 使 用 交叉 总 线 交 换 的 分 布 式 转发 架 
构 路 由 器 GR2000。 
年 ， 思科 公 司 开始 销售 面向 电信 运营 商 的 路 

晶 能 力 达 到 1.2Tbit/s。 而 且 如 果 在 机 框 内 进行 集群 ， 
3-3 ° 


表 3-3 商用 路 由 器 的 历史 


"该 产品 在 1 个 机 框 内 搭载 16 块 线 卡 ， 
能 使 单一 系统 的 处 理 能 力 达到 92Tbit/s 


年 份 事件 标准 化 等 进程 
1969 | 贝尔 实验 室 开始 开发 UNIX 操 作 系统 发 布 最 早 的 RFC 文 档 


1970 | ARPANET 项 目 启动 


1974 | 温 顿 . 瑟 夫 发 布 最 初 的 TCP 协 议 版 本 TCP (RFC675) 

1976 UUCP (Unix to Unix Copy 
Protocol) 

1979 | 美国 开始 启动 USENET 

1980 发 布 DIX 以 太 网 标准 
发 布 UDP 协 议 (RFC768) 

上 开始 建 后 15 发 布 IP 协 议 (RFC791) 
a i 发 布 TCP 修 订 版 (RFC793) 


1982 | 欧洲 开始 了 启动 EUnet 


IEEE 802.3 (10BASES) 


1983 | ARPANET 开 始 引 入 TCP/IP Telnet (RFC854) 
DNS (RFC882) 


1984 |JUNET (Japan University Network) 开始 建设 引入 互联 网 中 的 域名 系统 


1985 发 布 FIP 修 订 版 (RFC959) 


年 份 


事件 


标准 化 等 进程 


1986 


国 开始 建立 NSFNET 


Proteon 公 司 发 布 世界 上 第 一 台 商用 路 由 器 ProNET p4200 


思科 公司 发 售 AGS (Advanced Gateway Server) 路 由 器 产品 


发 布 DNS 修订 版 (REFC1034、 


1987 RFC1035) 

a es IEEE 802.3a (10BASE2) 
1988 | IANA (互联 网 数字 分 配 机 构 ) 1 建立 i (men) 
1989 | CERN (欧洲 核子 研究 组 织 ) 开创 了 Web 概 念 


1990 


Kalpana 公 司 发 售 世 界 上 第 一 台 交 换 式 集线器 EtherSwitch 


IEEE 802.3i (10BASE-T) 
SNMP (RFC1157) 


1991 


OSPF 版 本 2 (RFC1247) 


1992 


Windows 3.1 开 始 销 售 


NTP (RFC1305) 


1993 


思科 公司 发 布 高 端 路 由 器 Cisco7000 系 列 


NFS (美国 国家 基金 会 ) 设立 InterNIC 


本 设立 JPNIC 
发 Web 浏 览 器 Mozaic 


DHCP (RFC1531) 


1994 


Bay Networks 公 司 发 售 搭载 VLAN 功 能 的 以 太 网 交换 机 28115 


思科 公司 发 售 面 向 小 规模 办 公 


的 路 由 器 产品 Cisco2500 系 列 。 


始 应 用 IP 多 播 技术 。 此 后 的 路 由 器 开始 使 用 QoS 的 相关 技术 。 


发 售 Web 浏 览 器 Netscapte Navigator 1.0 


1995 


YAMAHA 发 售 ISDN 远 程 路 由 器 RT100i 


思科 公司 发 售 首 个 搭载 了 多 块 1 


的 Cisco7500 系 列 路 由 器 


思科 公司 发 售 首 个 L3 交 换 机 Cat 


alyst 5000 系 列 产品 


Windows 95 、 Internet Explorer 


始 在 市 场 上 销售 


F 兆 以 太 网 背 板 和 POS (Packet Over SONET) 接 


IEEE 802.3u (100BASE-TX) 
BGP 版 本 4 (RFC1771) 


IPv6 (RFC1883) 


1996 


Juniper Networks 公 司 创立 


思科 公司 开始 发 售 使 用 交叉 总 线 交换 技术 的 Cisco12000 路 由 器 


POP3 (RFC1939) 


年 份 


事件 


标准 化 等 进程 


1997 


思科 公司 的 Cisco2500 系 列 路 
开发 MPLS (Multiprotocol Lab 


开发 L3 交 换 机 


器 销售 量 达到 100 万 台 


e Switching， 多 协议 标签 交换 ) 


发 布 DHCP 修 订 版 (RFC2131) 


1998 


Juniper Networks 公 司 


始 销售 M40 路 


器 
Melco 公 司 ( 现 Buffalo 公 司 ) 开始 销售 低 价 交 换 式 集线器 LSW10/100-8 


IEEE 802.3z (10BASE-X) 
OSPF 版 本 2 修订 版 
(RFC2328) 

IPSec 版 本 2 (RFC2401) 
RIP 版 本 2 (RFC2453) 
IPv6 修 订 版 (RFC2460) 


1999 


IEEE 802.3ab (1000BASE-T) 
HTTP1.1 修 订 版 (RFC2616) 


OSPF for IPv6 (RFC2740) 


2000 


2001 


Juniper Networks 公 司 开 


始 销售 M160 产 品 


发 布 RADIUS 修 订 版 
(RFC2865) 


MPLS (RFC3031) 


2002 


YAMAHA 发 售 VPN 路 


器 RTX1000/RTX2000 


Juniper Networks 


发 售 路 


器 T640 系列 


SIP 修订 版 (RFC3261) 
SNMP 修订 版 
(RFC3411~RFC3418) 


2003 


IEEE 802.3ae (10GBASE-R) 
RTP 修订 版 (RFC3550) 


2004 


思科 公司 发 售 高 端 路 


器 CRS-1 


思科 公司 发 售 集成 多 业 


5 路 由 器 ISR (Cisco1800/2800/3800 系列 ) 


立 制作 所 和 日 本 电气 成 立 合资 公司 ALAXALA,， 


AX7800R 系列 


始 销售 高 端 路 


2006 


YAMAHA 公司 开始 销售 RTX3000 


IEEE 802.3an (10GBASE-T) 


BGP4 修订 版 (RFC4271) 
TLS1.1 (RFC4346) 


2007 


Juniper Networks 发 售 T1600 路 由 器 


2008 


2009 


思科 公司 发 售 集成 多 业 


务 路 


器 ISR G2 (Cisco1900/2900/3900 系列 ) 


SMTP 修订 版 (RFC5321) 


2011 


Juniper Networks 公司 发 售 T4000 路 由 器 


上 5 同属 美 匡 


16 互联 网 域名 系统 的 最 高 权威 机 构 ， 掌 握 着 互 


期 用 于 科研 和 高 校 资源 共享 的 全 国 性 骨干 网 络 。 一 一 译 考 注 


03.02.02 ”路 由 器 性 能 的 进化 


t 


类 网 域名 系统 的 设计 、 维 护 及 地 址 资源 分 配 等 方面 的 绝对 权力 。 


译 者 当 


Ht 


路 由 器 性 能 的 演进 过 程 如 表 3-4 所 示 。 其 中 的 pps 是 指 分 组 /每 秒 的 单位 ， 表 示 在 1 秒 内 ， 路 
够 转发 多 少 涉 IP 分 组 。 
表 3-4 路 由 器 性 能 的 演进 
年 份 产品 性 能 吞吐 量 注 1 1 秒 内 能 够 转发 的 高 清 画 面 数据 量 注 ? 
1976 年 ”|IMP 100pps 1.14Mbit/s 0.08 秒 
1986 年 ”|AGS 10kpps 117.18Mbit/s 9 秒 
1993 年 ”|Cisco 7000 270kpps 3.09Gbit/s 4 分 钟 
1997 年 ”|Cisco12000 10Mpps 117.18Gbit/s 2 小 时 30 分 钟 
1998 年 Juniper M40 40Mpps 468.75Gbit/s 10 小 有 的 
1998 年 立 GR2000 40Mpps 468.75Gbit/s 10 小 时 
现在 立 GR4000-320E 240Mpps |2.74Tbit/s 60 小 时 
钢 在 Juniper T640 3Gpps 35.16Tbit/s 人 5 
纲 在 Cisco CRS-1 36Gpps 421.88Tbit/s 1 年 
注 1: 1 packet 按照 1500 个 字 节 换算 ，1M=1024k，1k=1024。 


注 2: 是 指 12.9Mbit/s 的 高 清 画 面 。 


03.03 ”路 由 器 的 分 类 
03.03.01 ”路 由 器 设备 


路 由 器 的 功能 是 以 编译 CPU 上 运行 程序 的 软件 为 形式 提供 的 。 在 普通 的 个 人 计算 机 、 服 务 器 上 运行 
的 通用 操作 系统 ， 如 Windows、MacOS、UNIX、Linux 等 也 安装 有 路 由 器 运行 的 软件 ， 这 就 使 个 人 
计算 机 或 服务 器 设备 通过 运行 这 些 软件 也 能 作为 一 台 路 由 器 来 使 用 。 例 如 ，UNIX 操作 系统 配备 了 标 
准 链 路 控制 程序 routed， 该 程序 使 用 RIP 协议 并 提供 了 路 由 选择 功能 。 
但 通常 所 说 的 路 由 器 还 是 指 安装 了 路 由 器 专用 的 操作 系统 并 配 有 专用 硬件 的 设备 ， 这 样 的 设备 也 可 以 
称 为 硬件 设备 。 
使 专用 的 硬件 设备 和 在 个 人 计算 机 或 服务 器 的 通用 操作 系统 上 运行 路 由 选择 软件 相 比 ， 有 以 下 优 
o 提供 更 为 容易 使 用 的 用 户 接 口 。 
o 操作 简单 。 
o 即使 不 精通 技术 也 能 进行 简单 的 设置 。 


能 够 在 短 时 间 内 完成 加 载 。 


3 


罪 


靠 性 


网 


3-6 


作为 专用 


定制 
FE 更 高 。 


设备 的 路 由 


化 ， 系 乡 


于 内 置 搭载 了 路 由 器 功能 
器 以 外 ， 交 换 机 和 防火 墙 也 算是 网 络 设 
络 设备 的 产品 构成 如 


03.03.02 ”根据 性 能 分 类 


目 醒 ， 


上 由 不 


和 


司 


已 


鸭 
router) 
也 有 销售 的 、 


端 路 由 器 


价格 


氏 廉 的 家 


| 十 


于 网 络 互 
用 。 从 整个 
路 由 器 

商都 是 没有 


联 是 | 
本 的 


夫 通 用 


路 


充 能 够 较为 轻松 地 提供 高 


,使 得 


图 3-6 所 示 。 


路 由 器 设备 的 构成 部 件 结构 图 
器 可 以 根据 有 


生产 的 各 种 类 型 的 路 由 
middle range router) 和 (low router) 三 
用 宽带 路 由 器 (broad band router) 


满足 最 低 需求 的 成 本 降低 。 


个 部 件 的 详 引 


硬盘 、 


昌 途 和 规模 分 成 下 面 几 类 。 


ey 


[= 


闪存 等 ) 


/局 


座 产 


大 


海外 设 
工厂 的 


备 


此 只 要 电源 规格 合适 ， 
家 用 宽带 路 


4 公司 


器 和 低 端 


和 Juniper 公 


企 | 


或 专业 电子 


| 也 即 无 生 


尺 工 服 


产 线 (Fabless) 企业 ， 厂 商 


务 ) 代 工 


际 产品 是 
企业 制造 的 。 


DE 


路 由 器 根据 
配套 的 软件 


种 类 的 


不 同 ， 


只 负责 相关 产品 的 设 i 


硬件 规格 也 大 相 


虽然 基 


会 提供 统 


象 (参数 ) 不 太一 至 的 情况 。 
表 3-5 根据 路 由 器 性 能 的 分 类 


的 基础 功能 ， 但 


二 工作。 一 一 译 者 注 


A 
径 


庭 。 


也 会 有 一 


是 。 


根据 


忆 


生 能 可 


区 / 


CPU 
\(ASIC、 FPGA ) ) 


FA 
% 


可 以 分 成 


士 率 (throughput) 。 


参考 04.01 节 。 


4 


以 分 为 高 


器 (high end 


四 种 类 型 


不 
路 


公司 的 产品 


部 分 


Ar 


目下 


1 和 1 上 家 


E 产 的 路 由 器 均 能 立刻 投入 使 


电 专 卖 店 
表 3-5) 。 


的 市 场 占有 率 非 党 


通过 EMS (Electronics Manufacturing Se 


0 而 


到 


在 高 端 、 
。 几乎 所 有 的 三 


"并 


电子 制造 服务 


而 从 操作 系 乡 充 的 度 来 看 


和 机 


日 上 度 
功能 


得 不 到 不 支持 ， 


有 同 制造 广 商 
一 些 可 


类 产品 
性 的 对 


路 由 器 分 类 


用 途 


价格 区 间 


器 


电信 运营 商 、 数 据 中 


心 、 大 型 企 


业 的 核心 路 由 器 


几 百 万 * 几 亿 


器 


企业 的 中 心 (核心 ) 路 


Be 


电信 运营 商 的 边缘 路 


100 万 ~300 万 


路 由 器 分 类 


用 途 


价格 区 间 


低 端 路 由 器 中 小 企业 数据 中 心路 由 器 、 大 型 企业 分 支 机 构 使 


| 


L 


芽 


几 万 至 100 万 


宽带 路 由 器 小 规模 机 构 、 家 庭 使 


高 端 路 由 器 


高 端 路 由 器 的 性 能 最 好 ， 主 要 作为 骨干 网 络 中 的 核心 路 
Exchange) 、 电 信 运 营 商 网 络 中 完成 网 络 互 连 等 任务 。 


例如 ， 思 科 公 司 的 Cisco 12000 系列 、CRS-1，Juniper 公司 的 


公司 的 AX7800R 系列 就 属于 高 端 路 由 器 ， 


丽 约 十 几 万 至 上 千 万 人 民 币 。 一 一 译 者 注 


价格 在 


该 类 路 由 器 一 般 称 为 机 框 (chassis) 式 路 由 器 ， 
类 型 ， 其 中 主要 有 路 由 引擎 (routing engine) 


AN 


,St 居 


换 结构 (switch fabric) 


PD ~、IX (Internet 


EE 系列、M 系列 和 ALAXALA 
18 之 间 。 


恨 卡 的 插 槽 。 扩 展 卡 一 般 有 多 种 
、 线 卡 等 。 


表 3-6 展示 了 机 框 式 路 由 器 的 主要 组 成 要 素 ， 这 些 组 成 要 素 一 般 被 称 为 模块 (module) 。 
表 3-6 ”机 框 式 路 由 器 的 组 成 要 素 
要 素 
at 要 负责 路 由 表 的 维护 以 及 路 由 协议 的 控制 。Cisco 公司 的 产品 将 该 要 素 称 为 路 由 处 理 器 (route 
outing 
Engine) processer) 


交换 结构 (Switch | 负责 在 多 块 线 卡 之 间 进 行 通信 
Fabric) 交换 容量 ) 的 大 小 


的 内 部 总 线 结构 。 


该 结构 性 能 的 不 同 ，; 


器 转发 数据 


线 卡 (Line Card) | 配备 了 数据 输入 输出 接口 的 扩 


背 板 提供 插入 路 由 引擎 、 线 卡 连接 


展 卡 


证 槽 的 底部 


(Backplane) 播 槽 的 底部 主板 ， 并 通过 串 行 线路 连接 各 个 线 卡 


过 串 行 线路 连接 各 个 线 卡 路 


引擎 、 线 卡 连接 


图 3-7 


机 框 式 路 由 器 不 仅 可 以 控制 接 


当 某 一 模块 发 生 故 障 时 ， 无 需 关 闭路 由 器 电源 ， 在 
扩展 卡 即 可 修复 。 ， 


假设 带 有 输出 队列 的 


线 卡 
路 由 表 


| 
一 一 [一 司 儿 -LE 可 
[3 可 


假设 各 个 线 卡 之 间 连 有 路 径 ， 接 收 线 
卡通 过 查询 路 由 表 完成 转发 


线 卡 


交叉 式 交换 结构 


多 个 假设 的 输出 队列 


机 框 式 路 由 器 的 架构 


口 的 数量 ， 还 可 以 增强 


他 模块 仍 处 于 工作 的 状态 下 ， 


(hot swapping) 或 在 线 


思科 公司 | CRS-1 ) 


设备 的 交换 容量 ， 具 有 引擎 元 余 功能 
只 


-工作 状态 的 路 由 器 进行 将 换 线 上 或 其 他 模块 的 操作 ， 


Juniper 公司 ( T640 ) 


图 3-8 高 端 路 由 器 实例 
中 端 路 由 器 
一 般 作为 企业 的 中 心路 由 器 (center router) ， 是 整个 企业 网 络 的 中 心 。 

1 端 路 由 器 一 般 分 为 两 类 。 一 类 是 在 机 框 上 配备 固定 数量 接口 的 机 型 ， 该 机 型 无 法 额外 添加 端口 ， 称 
为 “固定 式 ? 或 * 箱 式 ” 路 由 器 ; 而 另 一 类 是 能 够 插入 可 选 模块 进行 扩充 。 因 此 可 以 根据 所 需 的 接口 类 型 
添加 对 应 端口 数量 的 机 型 ， 称 为 “模块 式 ” 路 由 器 。 

1 端 路 由 器 没有 像 高 端 路 由 器 那样 提供 路 由 引擎 的 元 余 功能 ， 但 是 配备 电源 元 余 的 产品 ， 即 所 谓 的 高 


可 靠 性 路 由 器 。 


蔡 换 发 
也 称 为 热 插 技 


故障 的 


! 端 路 由 器 的 价格 区 间 在 100 万 ~300 万 日 元 之 间 ， 在 日 本 国内 市 场 占有 一 定 份额 的 制造 厂商 有 
ALAXALA 公司 、 思 科 公 司 、Juniper 公司 、 富 士 通 、 上 古河 电气 工业 公司 等 。 


Juniper 公司 ( MX 系列 3D Universal Edge Router ) 
图 3-9 中 端 路 由 器 实例 
低 端 路 由 器 
该 类 路 由 器 属于 在 中 小 企业 或 大 型 企业 营业 部 、 或 分 支 机 构 里 配置 的 路 由 器 ， 也 称 为 普及 型 路 由 器 。 
该 类 路 由 器 同样 可 以 分 成 两 类 ， 即 可 以 改变 接口 类 型 或 添加 端口 数 的 模块 式 路 由 器 和 无 法 改变 接口 类 
型 和 端口 数 的 箱 式 路 由 器 。 
该 类 路 由 器 中 还 有 一 类 产品 无 法 插入 机 架 使 用 ， 叫 做 桌面 式 路 由 器 。 
从 主要 使 用 目的 来 看 ， 该 类 路 由 器 多 作为 运行 IPsec-VPN 的 终端 来 构建 虚拟 通信 网 络 。 


该 类 路 由 器 价格 区 间 在 100 万 日 元 以 下 ， 在 日 本 国内 市 场 上 占有 一 定 份额 的 制造 厂商 有 Allied Telesis 
公司 (以 下 简称 为 Telesis 公司 ) 、NEC 公司 、 思 科 人 公司、 富士 通 、 上 古河 电气 工业 公司 、YAMAHA 
等 。 


Telesis 公 司 { we )} YAMAHA ( RTX-3000 ) 

图 3-10” 低 端 路 由 器 实例 

宽带 路 由 器 

一 般 小 规模 分 支 机 构 和 家 庭 在 连接 宽带 时 使 用 的 路 由 器 ， 也 可 以 称 为 远程 路 由 器 或 WAN 路 由 器 。 
2012 年 销售 的 该 类 路 由 器 产品 类 型 ， 已 经 能 够 提供 IEEE 802.1ln 无 线 标准 〈 最 大 吞吐 量 达 到 
300Mbit/s) 和 1000BASE-T 双 绞 线 接口 〈 千 兆 以 太 网 的 有 线 LAN 标准 ) 等 ， 这 使 得 产品 的 实际 
量 达 到 了 数 百 Mbits 到 1Gbits 不 等 。 


该 类 路 由 器 产品 的 价格 区 间 从 几 千 日 元 到 15000 日 元 不 等 。 其 中 NEC 公司 、Corega 公司 、Buffalo 公 
司 、IOData 公司 等 设备 公司 均 有 产品 在 日 本 市 场 上 销售 。 


车 
下 


NEG 
Sa ( Aterm PA-WR8165N-ST ) 
图 3-11 宽带 路 由 器 示例 
03.03.03 面向 电信 运营 商 的 路 由 器 产品 分 类 

NTT、KDDI 这 类 电 电 信 运 营 商 在 面向 企业 和 个 人 消费 者 提供 构建 网 络 服务 时 ， 需 要 提供 的 网 络 结构 
规模 比 企 业 自 身 构 建 的 更 大 ， 对 路 由 器 产品 功能 与 性 能 的 要 求 也 就 更 加 复杂 。 从 电信 运营 商 的 角度 分 
类 ， 可 以 将 这 些 路 由 器 归 类 于 面向 网 络 服务 供应 商 的 路 由 器 (Service Provider Router) 19 ， 而 根据 路 
器 在 网 络 内 的 位 置 可 以 分 成 以 下 几 类 。 

| ”这 里 的 service Provider 可 以 简单 地 理解 成 中 国电 信 等 运营 商 的 宽带 网 。 一 一 译 者 注 


核心 路 由 器 


核心 路 由 器 (Core Eo 位 于 骨干 网 (backbone) 中 ， 用 来 构成 核心 网 络 (core network) 。 核 心 网 
络 用 于 各 个 业务 网 络 (service network) 的 互联 ， 承 担 着 高 速 转发 各 个 网 络 之 间 通 信 流 量 的 任务 。 


边缘 路 由 器 

边缘 路 由 器 (Edge Router， 供 应 商 之 间 的 边界 路 由 器 ) 是 指 在 骨干 网 边缘 配置 的 路 由 器 。 承 担 着 容纳 
用 户 网 络 线路 、 连 接骨 干 网 的 任务 。 由 于 需要 容纳 众多 用 户 的 网 络 线路 ， 因 此 该 路 由 器 不 仅 要 做 到 分 
组 的 高 速 中 继 转 发 处 理 ， 还 要 完成 控制 分 组 的 优先 级 、 分 组 过 滤 、 认 证 、 加 密 等 多 项 重要 的 处 理 。 

用 户 边缘 路 由 器 


用 户 边缘 路 由 器 (subscriber edge router) 是 在 用 户 (订阅 者 ) 网 络 处 配置 的 路 由 器 ， 用 于 连接 服务 供 
应 商 的 边缘 路 由 器 。 


下 


= 


Hy 
心路 由 器 二 人 
Ey 用 户 (企业 ) 


网 络 


图 3-12 服务 供应 商 的 网 络 与 路 由 器 的 位 置 
03.03.04 面向 企业 的 路 由 器 产品 分 类 


在 大 型 企业 和 网 络 公司 管理 的 大 规模 网 络 中 ， 存 在 很 多 作为 网 络 构 成 要 素 的 路 由 器 。 根 据 网 络 内 所 处 
立 置 与 分 工 的 不 同 ， 这 些 路 由 器 可 以 分 为 如 下 几 类 。 


面向 企业 的 路 由 器 也 可 以 称 为 企业 级 路 由 器 (Enterprise Router) 。 


距离 用 户 最 近 位 置 的 路 由 器 称 为 接 入 路 由 器 (Access Router) ， 意 思 就 是 保障 用 户 接 入 所 需 网 络 的 路 
器 ， 通 过 接 入 路 由 器 构成 的 网 络 也 称 为 接 入 网 。 接 入 路 由 器 提供 认证 、 接 入 控制 等 功能 ， 一 般 部 署 
在 企业 的 分 支 机 构 或 下 属 部 门 中 。 


有 时 为 了 在 自己 家 中 或 出 差 时 能 够 接 入 公司 的 网 络 而 使 用 远程 接 入 路 由 器 ， 这 也 是 接 入 路 由 器 的 一 
这 类 网 络 使 用 拨号 连接 、PPTP、IPsec、SSL 等 协议 通过 VPN 完成 整个 接 入 过 程 。 


汇率 路 由 器 

在 规模 很 大 的 网 络 中 ， 往 往 会 在 核心 网 络 和 接 入 网 络 之 间 构 建 一 个 汇聚 网 络 (Distribution 
Network) ， 形 成 3 层 网 络 结构 。 汇 聚 路 由 器 (Distribution Router) 负责 在 汇聚 网 络 中 汇聚 接 入 网 的 
路 由 选择 信息 ， 完 成 分 组 过 滤 等 工作 ， 从 而 进行 多 个 网 络 或 VLAN 之 间 的 连接 。 

核心 路 由 器 

核心 (core) 表示 位 于 中 心 ， 核 心路 由 器 (Core Router) 也 就 是 配置 在 网 络 中 心 位 置 的 路 由 器 。 使 用 
核心 路 由 器 构建 起 来 的 核心 网 主要 负责 高 速 传送 与 接 入 网 或 汇聚 网 之 间 的 通信 数据 。 虽 然 目 前 也 有 不 
少 企业 自 建 核心 网 ， 但 大 多 数 企 业 还 是 向 电信 运营 商 支 付 一 定 的 月 租 费 通过 租用 线路 来 构建 。 


表 3-7 各 个 生产 商 提供 的 面向 企业 的 路 由 器 产品 注 1 


>h 


Cisco Systems 和 ALAXALA Networks | YAMAHA 
面向 网 络 服务 供应 商 的 核心 路 由 器 产品 (高端 路 由 | ho i AX7800R 
器 ) Tt (768Gbit/s/480Mpps) 

Cisco12000 

Cisco10000 Me 

Cisco7600 MX240 

Cisco7300 MX80 
面向 网 络 服务 供应 商 的 边缘 路 由 器 产品 (高 端 路 由 | Cisco7200 ED AX7702R 
器 、 中 沁 器 ) Cisco Na (96Gbit/s/30Mpps) 

ASR9000 

CiscoASR1000 二 人 

Cisco XR M7i 

12000 

Cisco ISR 

区 i J6350 RTX3000 
面向 中 小 企业 的 路 由 器 (中 端 路 由 器 、 低 端 路 2000 J4350 RTX1500 
器 ) ee J2350 RTX1200 

1900 J2320 RTX1100 

Cisco ISR 800 


注 1: 思科 公司 的 路 由 器 名 称 为 产品 系列 名 称 ， 其 余 公 司 的 为 产品 型 号 名 称 。 


拨号 路 由 器 20 

2 在 国内 ， 由 于 该 类 产品 采用 了 ISDN 等 宽带 接 入 技术 费用 高 昂 ， 存 在 时 间 很 短 ， 因 此 消费 者 很 难 见 到 。 一 一 译 者 注 
个 人 计算 机 等 设备 通过 电话 线路 接 入 网 络 的 方式 称 为 拨号 连接 (dial-up) 。 在 20 世纪 80 年 代 个 人 计 
算 机 普及 时 ， 以 及 20 世纪 90 年 代 中 期 商业 互联 网 服务 开始 时 ， 拨 号 连接 非常 流行 ， 只 要 有 电话 线路 
的 地 方 就 能 连 入 互联 网 。 

目前 ， 由 于 光纤 、ADSL 等 宽带 接 入 技术 占据 主导 地 位 ， 家 里 几乎 不 再 使 用 拨号 上 网 。 
拨号 路 由 器 (Dial-up Router) 配备 了 WAN 侧线 路 连接 的 ISDN 动态 适配器 ， 可 以 用 64kbit/s 或 
128kbit/s 的 速率 连接 互联 网 。 也 有 配备 了 多 个 SOHO?1 所 需 的 LAN 侧 接口 ， 可 以 直接 连接 终端 的 产 
HH 。 
| 21 即 Small Office Home Office， 家 居 办 公 。 大 多 指 那些 专门 的 职业 者 。 译 者 注 

与 目前 使 的 长 时 间 在 线 网 络 服务 不 | 同 ， 拨 号 上 网 需要 和 电话 一 同 使 用 ， 并 a en 
费 。 因 此 该 类 路 由 器 会 配备 一 种 功能 ， 即 仅 在 需要 连接 互联 网 时 自 动 连接 ， 果 在 一 定时 间 内 没有 通 
信和 则 自动 断 开 网 络 ， 节 省 通信 费用 。 

从 1994 年 Bekkoame Internet 公司 2 开始 向 个 人 提供 互联 网 接 入 服务 后 ， 逐 步 开 始 有 了 固定 费用 的 、 
拨号 上 网 的 全 接 入 服务 。 

裤 在 日 本 面向 个 人 提供 互联 网 接 入 服务 的 公司 ， 类 似 于 中 国 的 长 城 宽带 等 网 络 公司 。 一 一 译 者 注 


图 3-13 YAMAHA 的 NVR500 
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图 3-14 拨号 路 由 器 的 架构 
宽带 路 由 器 、 内 置 ADSL 调制 解 调 器 的 路 由 器 


” ”个 人 计算 机 
人 _ (10BASE-T) 


器 功能 


MDI 与 MDI-X 可 以 切换 


2000 年 前 后 ， 拨 号 路 由 器 的 名 称 逐 步 被 宽带 路 由 器 代替 。 随 着 xDSL、FTTH (光纤 到 户 ) 等 宽带 接 
入 技术 的 发 展 ， 市 场 上 出 现 了 内 置 ADSL 调制 解 调 器 和 ONU ( 光 网 络 终端 装置 ) 、 使 用 PPPoA 或 
PPPoE 协议 就 可 以 连接 电信 运营 商 网 络 的 路 由 器 。 
该 类 路 由 器 在 家 电 专 卖 店 的 售 价 为 几 千 至 1 万 日 元 左右 。 
移动 路 由 器 
在 出 差 或 外 出 时 用 于 连接 互联 网 的 便携 式 路 由 器 也 可 以 称 作 移动 路 器 (Mobile Router) 。 该 类 路 
器 外 形 小 巧 便捷 ， 有 的 产品 配备 了 有 线 LAN 端口 和 无 线 LAN 接 入 点 ， 有 的 产品 可 以 通过 USB 接 
或 数据 通信 卡 连接 移动 电话 网 、PHS23 、 we 等 无 线 网 络 的 调制 解 调 器 ， 还 有 的 产品 集成 了 数据 
通信 卡 和 路 由 器 的 两 种 功能 。 
| 到 在 国内 称 为 小 灵通 。 一 译 者 注 
03.04 ”路 由 器 产 品目 录 说 明 
路 由 器 硬件 产品 的 相关 规格 介绍 如 表 3-8 所 示 。 另 外 ， 宽 带路 由 器 的 产品 目录 说 明 书 可 参照 表 3-9。 
表 3-8 路 由 器 产品 目录 的 主要 规格 说 明 
规格 要 素 说 明 范例 

尺寸 (高 x 宽 x 深 ) 路 由 器 机 框 的 大 小 8.9x44.1x37.6cm 

机 架 高 度 机 架 插入 式 路 由 器 的 高 度 ， 即 占用 多 少 个 Unit 2U 

重量 ( 满 配 时 ) 产品 的 重量 ， 会 告知 是 否 包含 ] 等 可 选 模块 的 重 10.2kg 

装载 方法 说 明 整 机 是 否 能 够 载 入 (配置 安装 于 ) 19 英 寸 或 23 英 寸 的 机 架 装载 19 英 寸 机 架 

物理 端口 组 成 说 明 路 由 器 配备 了 多 少 个 物理 端口 (接口 ) 和 类 型 ee 


接口 卡 揪 槽 插入 可 选 接口 卡 的 插 模 数目。 一 般 一 块 接口 卡带 有 1 个 或 多 个 物理 端口 |1 组 
1 源 规格 电源 一 般 分 为 AC (Alternating Current， 交 流 电 ) 和 DC (Direct 
Ed Current， 直 流 电 ) 两 类 。 也 有 小 型 路 由 器 会 配备 AC 电 源 适 配器 
AC 电 源 在 规格 范围 内 输入 的 电压 额定 值 或 额定 范围 。 日 本 一 般 使 用 的 
AC 输 入 电压 电压 为 单 相 100V， 但 是 为 了 与 世界 接轨 ，AC 输 入 电压 的 范围 普遍 是 。 |100~240VAC 
100~240V 24 
AC 输 入 频率 人 电源 对 应 的 输入 频率 。 本 东部 采用 的 是 50Hz， 西 部 采用 的 是 60Hz 47~63Hz 
AC 输 入 电 AC 电 源 中 的 电流 数值 。 可 以 通过 公式 计算 : 消耗 电能 : (输入 电压 x 功 |3A (110V) 
率 x 转 化 率 ) 2A (230V) 
DC 输入 电压 DC 电源 对 应 的 输入 电压 一 48VDC (额定 ) 
DC 输入 电流 DC 电源 中 的 电流 数值 。 可 以 通过 公式 计算 : 消费 电能 :输入 电压 1 (额定 一 
输出 功率 
消耗 电能 表示 产品 消耗 的 电能 。 有 时 会 分 别 标明 平均 消费 电能 和 最 大 消费 电能 ”|52W (177 BTU/hr) 
环境 规格 
运行 温度 产品 运行 时 需要 保证 的 温度 0°C~40°C 
非 运行 时 的 温度 保管 非 运行 状态 的 产品 所 需要 的 温度 一 40*C~70?C 
二 人 、 y 9%6~859 “会 结 
运行 湿度 产品 运行 时 需要 保证 的 温度 2 
噪音 产品 运行 时 发 出 的 噪音 强度 50dBa 
认证 
e UL 60950 
e CAN/CSA 
安全 认证 显示 硬件 通过 的 安全 认证 ® C22.2 No.60950 
e EN 60950 


® AS/NZS 60950 


® 47 CFR,Part 15 

® ICES-003 Class A 
® EN55022 Class A 
EMC (Electromagnetic 证 产 口 沿 右 由 磁 垣 时 武吉 由 磁 语 外 会 影 响 揪 作品 至 法 由 朱 误 耻 ® CISPR22 Class A 
Compatibility， 电 傍 兼 容 el 电磁 辐射 式 有 电磁 辐射 但 不 会 影响 操作 以 致 造成 失误 的 BN SE Ce 
性 ) 八 U 上 信息 - 

® VCCI V-3 

® EN 300386 

® EN 61000 


® 47 CFR,Part 68 

® TIA/EIA/IS-968 
® CS-03 

® R&TTE Directive 


Telcom 表示 符合 电气 通信 和 无 线 通信 的 相关 规范 


N 

必 
于 
法 


的 是 220V。 一 一 译 者 注 
5 我 国 使 用 的 是 50Hz 。 译 者 注 


表 3-9 宽带 路 由 器 规格 的 说 明 


项 目 内 容 范例 说 明 
IEEE 802.3ab (1000BASE-T) i > gi py 、 
表示 有 线 LAN 使 用 的 标准 名 称 。 如 果 是 以 太 网 的 话 ， 
规格 IEEE 802.3u (100BASE-TX) 这 里 内 容 基本 相同 ， 一 般 支持 到 千 兆 以 太 网 为 目 


IEEE 802.3 (10BASE-T) 


对 应 协议 |TCP/IP 表示 能 够 处 理 TCP/IP 协 议 标 准 的 分 组 


项 目 内 容 范 例 


传输 信号 |8B1Q4/PAM5 (1000BASE-T) 
的 编码 方 |4B5B/MLT3 (100BASE-TX) 
式 曼彻斯特 编码 (10BASE-T) 


说 明 


表示 有 线 LAN 中 线路 传输 的 编码 方式 。 以 太 网 时 表示 
的 内 容 如 范例 所 示 (参考 01.03 节 ) 


传输 速度 |10M/100M/1000Mbit/s ( 自 适应 ) 


通过 自 适 应 功能 自动 选择 适合 的 传输 速度 


接 入 方式 | CSMA/CD 


采用 CSMA/CD 方 式 接 入 有 线 LAN 


WAN 处 IP 
的 获取 方 | 手动 /DHCP/PPPoE 
5 


能 够 通过 手动 设置 、DHCP 或 PPPoE 协 议 从 WAN 端 
处 获得 IP 地 址 


端口 数 WAN 侧 1 个 端口 (对 应 AUTO-MDIX) 
LAN 侧 4 个 端口 (对 应 AUTO-MDIX) 


表示 端口 数目 。 一 般 LAN 侧 提供 四 个 端口 。 会 标明 是 
否 对 应 Auto-MDIX 


接头 形状 |RJ-45 类 型 8 极 接头 


示 使 用 的 是 8pin 的 RJ-45 接 头 


让 


Stateful Packet Inspection (SPI) 、 分 组 过 滤 (Packet 
Filtering) ~ VPN Multi-Passthrough (BIPPTP) 


中 


照 第 5 章 


电源 AC100V 50/60Hz 


DD 


AC100V 表示 内 置 型 电源 ，DC5V 中 出 现 的 DC 字样 表 
示 通 过 AC 电源 适配器 供电 


消耗 电能 | 最 大 14W 


表示 设备 在 启动 时 和 NDR (参考 07.04 节 ) 分 组 处 理 时 
消耗 的 电能 最 大 


~ 
全 
< 
NAN 


攻 尺 寸 |W165xH158xD30mm 


表示 路 由 器 的 尺 ， 


[ul 
Wh 
弛 


338g 


表示 路 由 器 的 重 


泪 谋 mol 
行 环境 | 温度 0°C ~40°C 
环境 | 温度 20%~80% 


表示 路 由 器 在 该 温度 、 湿 度 范 围 内 能 够 正常 工作 。 在 
此 范围 之 外 ， 无 法 保证 路 由 器 能 够 正常 工作 


宽带 路 由 器 一 般 在 WAN 侧 有 1 个 端口 , 在 LAN 侧 有 3~5 个 RJ-45 端口 。LAN 侧 的 多 个 端口 之 | 
以 像 交 换 机 那样 进行 桥接 ， 因 此 也 可 以 在 多 个 人 端口 之 间 仅 分 配 一 个 了 地 址 。 


03.05 ”IP 路 由 选择 的 基础 知识 
03.05.01 IP 地 址 管理 

复习 IP 地 址 

IP 协议 存在 IPv4 和 IPv6 之 分 ， 二 者 没有 互 换 怕 


[ 京 


生 ， 地 址 的 表示 方式 也 大 相 径 庭 。 


辣 可 


IPv4 地 址 是 采用 类 似 192.168.0.12 的 形式 ， 用 点 “.” 将 地 址 分 成 4 个 部 分 ， 并 使 用 十 进 制 数字 表示 的 
32bit 的 值 。 因 此 每 个 部 分 的 长 度 都 是 8bit， 可 以 用 0~255 的 数字 来 表示 ° 


。 地 址 分 类 与 自然 掩 码 


[©] 


oO 


IPv4 地 址 中 前 三 类 地 址 网 络 部 分 与 主机 部 分 的 bit 位 数 是 分 配 好 的 。A 类 地 址 的 范围 是 
0.0.0.0~127.255.255.255， 其 中 8bit 表示 网 络 部 分 ， 剩 余 24bit 表示 主机 部 分 。B 类 地 址 的 范围 是 
128.0.0.0~191.255.255.255， 其 中 使 用 16bit 表示 网 络 部 分 ，16bit 表示 主机 部 分 。C 类 地 址 的 范围 
是 192.0.0.0~223.255.255.255， 其 中 使 用 24bit 表示 网 络 部 分 ，8bit 表示 主机 部 分 。 
另外 还 有 用 于 多 播 的 、 范 围 是 224.0.0.0~239.255.255.255 的 D 类 地 址 ， 和 用 于 研究 的 、 范 围 是 
240.0.0.0~255.255.255.255 的 E 类 地 址 。 
CIDR 与 子 网 掩 码 
CIDR (Classless Inter-Domain Routing ， 无 类 别 域 间 路 由 ) 不 再 采用 以 往 的 地 址 分 类 ， 而 是 基 了 
可 变 长 子 网 掩 码 进行 任意 长 度 的 IP 地 址 前 缀 ， 即 网 络 部 分 的 分 配 (可 变 长 子 网 掩 码 在 RFC950 
标准 中 定义 了 详细 内 容 ) 。 以 往 的 地 址 分 类 只 能 将 网 络 部 分 分 成 24bit、16bit 或 8bit 三 种 ， 而 通 
过 CIDR 进行 任意 长 度 的 分 配 后 ， 主 机 部 分 也 可 是 任意 长 度 ， 于 是 出 现 了 新 的 子 网 掩 码 。IP 地 址 
的 网 络 部 分 也 可 以 称 为 前 级 (prefix) ， 网 络 部 4 分 的 长 度 通常 以 “前 织 长 度 为 Nbit* 的 形式 来 表 
述 ， 而 前 级 则 通过 子 网 掩 码 来 表示 。 子 网 掩 码 和 IP 地 址 一 样 分 成 4 个 部 分 上 进 制 表示 ， 如 
果 网 络 部 分 的 长 度 为 24bit， 子 网 掩 码 则 为 255.255.255.0。 和 IP 地 址 不 同 的 是 ， 当 使 用 二 进 制 表 
示 时 ， 子 网 掩 码 一 定 是 以 连续 的 11 开始， 以 连续 的 0 结束 。 另 外 ， 使 用 CIDR 的 表示 法 时 ， 还 可 
以 在 卫 地 址 后 面 语 加 斜 线 “” 和 表示 子 网 的 bit 数 。 例 如 卫 地 址 为 10.1.1.1， 子 网 掩 码 为 
255.255.0.0 时 ， 可 以 记 为 10.1.1.1/16 。 
不 使 用 CIDR，A 类 地 址 到 C 类 地 址 仍然 使 用 8bit、16bit 和 24bit 来 表示 网 络 部 分 的 子 网 掩 码 ， 
也 称 为 自然 掩 码 (natural mask) 
使 用 分 类 地 址 称 为 有 类 路 由 选择 (classful) ， 使 用 无 类 地 址 则 称 为 无 类 路 由 选择 (classless) 。 
网 络 部 分 相同 的 IPv4 地 址 可 以 认为 它们 归属 同一 子 网 。 
私有 地 址 与 全 局 地 址 
于 IPv4 中 地 址 枯竭 的 问题 ， 出 现 了 只 在 组 织 内 部 网 络 (intranet) 中 使 用 的 IP 地 址 ， 即 私有 地 
址 (private address) 。 私 有 地 址 在 RFC1918 中 定义 了 详细 信息 ， 并 针对 每 个 地 址 分 类 提供 了 不 
司 的 地 址 范围 ， 以 供 不 同 规模 的 内 部 网 络 选择 ( 表 3-10) 
表 3-10 私有 地 址 范围 
地 址 分 类 私有 地 址 范围 
A 类 地 址 10.0.0.0~10.255.255.255 (10.0.0.0/8) 
B 类 地 址 172.16.0.0~172.31.255.255 (172.16.0.0/12) 
C 类 地 址 192.168.1.0~192.168.1.255 (192.168.1.0/24) 
A 类 地 址 到 C 类 地 址 中 ， 除 了 私有 地 址 外 的 所 有 地 址 都 称 为 全 局 地 址 (global address) 。 如 果 要 
在 互联 网 上 使 用 全 局 地 址 ， 需 要 在 ICANN 下 属 的 Internet Registry26 机 构 中 注册 。 
单 播 、 广 播 、 多 播 、 任 播 
IP 地 址 也 可 以 按照 拓扑 结构 分 类 ， 如 表 3-11 所 示 。 
表 3-1 IP 地 址 的 拓扑 结构 分 类 
向 特 |IPv4 地 址 中 使 用 A 
(Unicast) ”| 定 IP | 类 、B 类 、C 类 地 
地 址 | 址 
机 发 
据 


广播 
(Broadcast) 


锁 浅 基 玉 访 恒 妆 站 哥 
溢 池 当 疗 上 碾 了 加 


使 


255.255.255.255 或 
主机 部 分 全 为 1 的 
地 址 (如 

192.168.1.255/24) 


(Multicast) 


IPv49 
址 


ph 使 用 DD 类 地 


O 


加 


个 部 分 长 16bit， 


使 用 十 六 


p 导 并 连续 的 0 可 以 省 略 。 


6AD5 


6AD5 


个 ) 


任 播 只 在 | 只 在 IPv6 中 存在 
(Anycast) “| 最 初 
发 送 
多 份 
了 
据 ， 
随后 
仅 和 
最 近 
〈 响 
应 时 
最 
快 ) 
的 主 
机 继 
续 通 
IPv6 地 址 的 值 增加 到 了 128bit， 用 冒号 “: ”将 地 址 分 成 八 个 
进 制 数 字 (从 0000 到 FFFF) 表示 。 IPv6 地 址 有 条 简写 规则 ， 恨 
IPv6 地 址 FE80:0000:0000:0000:30AB:0000:008D:6AD5 
FE80 0000 0000 0000 30AB 0000 008D 
每 个 地 址 块 中 前 导 并 连续 的 0 可 以 省 略 ， 
全 为 0 的 地 址 块 保留 一 个 0 
FE80 0 0 0 30AB : 0 8D 
单个 或 连续 的 只 有 0 组 成 的 地 址 块 可 以 用 ， 
来 代替 ( 但 整个 地 址 中 只 能 
FE80 30AB 0 8D 6AD5 
—— eo 
该 区 域 可 以 ” ”该 区 域 则 不 能 


省 略 全 0 的 部 分 “省略 全 0 的 部 分 


图 3-15 IPv6 的 全 局 地 址 、 私 有 地 址 、 广 播 地 址 、 多 播 地 址 和 任 播 地 址 


能 够 设置 IP 地 址 的 接口 
IP 地 址 是 在 OSI 参考 模型 的 网 络 层 上 使 用 的 逻辑 地 址 。 从 管理 接口 能 够 手动 设置 表 3-12 所 列 的 
接口 类 型 。MAC 地 址 属于 数据 链 路 层 使 用 的 物理 地 址 ， 该 地 址 与 每 不 物理 接 一 一 对 应 ， 因 此 
无 法 变更 ， 也 不 会 存在 重复 的 地 址 。 
表 3-12 能 够 设置 IP 地 址 的 接口 
名 称 说 明 
L3 接 能 够 进行 L3 处 理 的 物理 接口 。 在 交换 机 端口 中 ，1 个 交换 机 虽然 能 够 携带 多 个 物理 端口 ， 但 也 可 以 
公分 本 一 个 下 地 址 。 当 链 路 没有 连通 时 ， 该 卫 地 址 不 可 达 
环 回 接 路 由 器 用 来 表示 自己 本 身 的 虚拟 接口 。 个 人 计算 机 中 IPv4 一 般 记 为 “127.0.0.1”"，IPv6 记 为 “::1”。 另 
(loopback 外 ， 也 可 以 设 定 多 个 环 回 接口 。 一 般 在 链 路 联通 时 ， 该 虚拟 接口 到 路 由 器 所 带 的 任意 一 个 物理 接 
interface) 匀 是 可 达 的 
VLAN 接 在 可 以 进行 VLAN 间 路 由 选择 设置 的 路 由 器 中 ， 为 每 个 YLAN 分 配 耻 地址 时 所 使 用 的 虚拟 思 
科 公 司 的 路 由 器 将 该 接口 称 为 SVI (Switched Virtual Interface， 交 换 虚 拟 接口 ) 
汇聚 接 
(aggregate “| 将 多 个 物理 接口 进行 链 路 汇聚 (参考 02.08 节 ) 而 形成 的 逻辑 接 
interface) 
子 接口 (sub | 使 用 VLAN ID 将 一 个 物理 接口 分 割 成 多 个 带 标签 的 逻辑 接口 时 ， 这 些 逻 辑 接口 就 称 为 子 接口 ， 表 
interface) 述 方式 如 ethernet1/1.1， 用 点 “.” 来 分 隔 主 接口 和 子 接口 
辅助 地 址 当 在 路 由 器 中 可 以 配置 IP 地 址 的 接口 存在 2 个 (或 2 个 以 上 ) 时 ， 可 以 同时 分 配 不 同 的 IP 地 址 ， 这 时 


way | 第 2 个 地 址 称 为 辅助 地 址 。 该 地 址 可 以 用 于 网 络 迁徙 或 网 络 管理 


address) 


o 访问 列表 与 NAT 


路 由 器 在 转发 或 丢弃 分 组 时 会 
而 将 分 组 从 私有 地 址 转发 到 全 
的 详细 信息 可 参考 05.07 节 。 


o ARP 表 管理 


ARP 是 通过 IPv4 地 址 获取 MAC 地 址 的 网 络 协议 。 路 由 器 在 发 送 IP 分 组 时 ， 会 用 ARP 解析 以 

太 网 数据 帧 所 需要 的 目的 地 MAC 地 址 。 负 责 使 用 ARP 解析 的 路 由 器 在 收 到 该 请 求 后 ， 会 向 网 

络 内 其 他 的 路 由 器 或 主机 发 出 类 似 这 样 的 询问 消息 :“ 谁 有 IP 地 址 192.168.1.254 ? ”而 持 有 该 IP 
地 址 的 设备 会 做 出 如 “192.168.1.254 是 00:00:00:0f:12:34:56” 这 样 的 应 答 。 由 于 在 转发 IP 分 组 时 执 
行 ARP 的 话 效 率 会 很 低 ， 因 此 一 旦 ARP 解析 完成 ， 会 将 解析 结果 以 表 项 的 形式 保存 在 设备 的 
ARP 表 中 。 但 是 表 项 不 会 永久 保存 ， 而 是 有 一 定 的 时 限 ， 该 时 限 称 为 Age Time (老化 时 间或 生 
存 时 间 ) ， 超 时 后 会 再 次 解析 ARP。 另 外 ，ARP 表 是 以 每 个 网 络 接口 为 单位 保存 的 。 


对 于 无 法 使 用 ARP 的 硬件 或 那些 经 常 使 用 相同 IP 地 址 的 服务 器 而 言 ， 由 于 无 法 通过 广播 的 方式 
完成 ARP 解析 ， 因 此 也 可 以 由 网 络 管理 人 员 在 ARP 表 中 手动 添加 对 总 ARP 表 项 。 


o DHCP 


访问 列表 (access list) 来 进行 分 组 的 过 滤 (filtering) 操作 。 
出 址 ， 进 行 地 址 转换 操作 时 ， 则 会 使 用 NAT 技术 。 这 两 个 功能 


耶 注 


EE 


DHCP (Dynamic Host Configuration Protocol， 动 态 主 机 配置 协议 ) 协议 在 RFC2131 与 RFC2132 
中 定义 ， 是 为 主机 (客户 端 ) 自动 配置 IP 地址 、 子 网 、 域 名 、DNS 服务 器 、 默 认 网 关 等 信息 的 
网 络 协议 。 


路 由 器 的 DHCP 功能 主要 分 为 三 个 方面 。 首 先是 作为 DHCP 服务 器 为 客户 端 分 配 IP 地 址 
PAT et ts te 
客户 端 功能 最 后 是 在 DHCP 服务 器 和 客户 端 之 间 完 成 中 继 广 播 消 息 的 DHCP 中 继 代理 功能 

(Relay Agent) 


贰 用 路 由 器 的 DHCP 服务 器 功能 时 ， 个 人 计算 机 (DHCP 客户 端 ) 可 以 通过 图 3-16 的 流程 自动 
从 路 由 器 (DHCP 服务 器 ) 处 获取 IP 地 址 。 如 果 手 动 设置 每 台 计 算 机 的 IP 地 址 ， 过 程 会 非常 麻 
烦 ， 而 且 必 须 考虑 到 不 能 分 配 重 复 的 卫 地 址 。 而 使 用 DHCP 则 可 以 指定 分 配 的 卫 地 址 所 在 的 范 
姑 <?>， 自 动 完成 在 该 范围 内 的 地 址 分 配 ， 同 时 也 可 以 自动 为 默认 网 关 分 配 地 址 。 几 乎 所 有 类 型 
的 路 由 器 都 支持 DHCP 服务 器 功能 ， 其 中 也 包括 家 用 的 宽带 路 由 器 。 


相同 广播 域 中 


DHCP 网 段 内 其 他 | |DHCP 服 务 器 1 |DHCP 服 务 器 2， 
客户 端 IAW Wn VM) 


DHCPDISCOVER 


DHCPOFFER (yiaddr =10.1.1.5) | 
DHCPOFFER |# 


DHCPREQUEST (Requested IP Address = 10.1.1.5, 
server identifier = 10.1.1.253) 


DHCPACK 


四 客户 端 对 网 段 内 广播 DHCPDISCOVER 消 息 

(@@ DHCP 服 务 器 在 网 络 内 广播 DHCPOFFER 消 息 

人 G@) 客户 端 在 网 络 内 广播 DHCPREQUEST 消 息 

(4) 在 接收 了 DHCPACK 消 息 后 ， 客 户 端 就 能 使 用 所 分 配 的 IP 地 址 ( 10.1.1.5 ) 


图 3-16 DHCP 连接 流程 


PPPoE 


PPPOE (PPP over Ethernet) 即 以 太 网 上 的 点 对 点 协议 ， 是 在 LAN 上 完成 用 户 认 证 并 分 配 IP 地 址 
的 网 络 协 议 。 另 外 ， 使 用 PPPoE 协议 也 能 提供 网 络 接 入 服务 ， 使 设备 接 入 互联 网 服务 供应 商 的 
网 络 、 享 受 FTTH、ADSL 等 长 时 间 在 线 网 络 服务 。 


该 协议 由 RFC2516 定义 ， 图 3-17 列 出 了 处 理 流程 。 


PPPoE 发 现 阶段 


PPPoE PPP 
会 话 阶段 开始 


LCP 分 组 


IPCP 分 组 


开始 建立 PPPoE 会 话 


名 建立 PPPoE 会 话 


3) 开始 建立 PPP 会 话 


有 请 求 认证 协议 


PADI 


IP 通 信和 网 


je Configure-Request 
Configure-Ack 

Configure-Request 
Configure-Ack 


了 


[依据 CHAP/PAP 进 行 认证 的 阶段 ] 


Configure-Request B 
Configure-Ack 


Configure-Request 


Configure-Nak 
Configure-Request 
Configure-Ack 

Se 开始 IP 通 信 


6) 请 求 终端 设备 所 使 用 的 IP 地 址 


7) 返回 分 配给 终端 设备 的 IP 地 址 信息 


8) 告知 终端 设备 所 接收 的 IP 地 址 信息 


9) 建立 PPP 会 话 


引 ) 告知 IP 通 信 网 络 侧 的 IP 地 址 


图 3-17 PPPoE 连接 流程 


有 些 路 由 器 能 够 提 


供 多 PPPoE 会 话 功能 


03.05.02 ”IP 路 由 选择 


路 由 器 根据 接收 到 
路 接口 转发 ， 这 一 


IP 路 由 选择 可 以 分 为 针对 六 


的 IP 分 组 中 目的 地 址 信息 ， 从 路 由 表 中 选择 最 适合 的 路 径 ， 


o 


系列 过 程 称 为 路 由 选择 ， 对 IP 分 组 进行 路 选择 操作 就 称 为 卫 路 由 选择 
# 播 通信 的 单 播 P 路 由 选择 和 针对 多 播 通信 的 多 播 卫 路 


03.05.03 ”路 由 表 


路 由 表 (routing table) 包含 了 路 | 


1. 目的 地 IP 地 址 


Destination Address) : 


即 能 够 使 用 多 个 PPPoE 实例 。 这 时 ， 用 
由 器 同时 接 入 两 个 以 上 的 互联 网 服务 供 应 商 网 络 ， 从 而 使 连接 互联 网 的 线路 负载 均衡 、 
multi-homing， 也 可 称 为 多 重 连接 ) 


| 26 可 以 理解 为 互联 网 登记 处 。 一 _ 译 者 注 


IP 分 组 的 目的 地 址 。 


2. 子 网 掩 码 (Subnet Mask 或 Network : 表示 目的 地 了 IP 地址 


1 与 2 组合 起 来 能 


3. 网 关 (Gateway) : 


邻 路 由 器 的 网 络 接 


4. 网 络 接口 (Interface) 


够 表示 目标 子 网 络 信 息 


分 组 下 一 步 需 要 转发 到 的 卫 地址。 包含 转发 接 
口 IP 地 址 。 网 关 也 可 称 为 下 一 跳 (nexthop) 。 


: 转发 该 分 组 路 由 器 上 的 接口 。 


并 选择 从 


选择 


选择 的 必 备 信息 ， 主 要 由 以 下 各 项 组 成 。 


口 


的 子 网 卫 地 址 ， 


户 可 以 通过 路 


双 线 元 余 


M4 


哪个 网 


o 


' 有 多 少 bit 表示 网 络 部 分 。 


地 


常 是 相 


5. 度量 值 (Metric) : 当 有 多 条 路 和 I 的 IP 地 址 与 子 网 掩 码 的 值 相同 ) 时 
不 同 路 径 的 优先 级 。 该 值 越 小 表示 优先 级 越 


以 上 5 个 项 目 汇 总 组 成 一 条 路 由 表 的 表 项 ， 也 称 为 路 由 选择 表 项 (routing entry) 。 
03.05.04 ”最 长 匹配 与 默认 网 关 
分 组 到 达 路 由 器 时 ， 路 器 会 参考 IP 的 目的 地 址 信息 ， 从 路 由 表 中 找到 包含 网 络 地 址 的 路 


如 果 路 由 表 中 存在 该 表 项 ， 则 根据 该 表 项 记载 的 网 络 接口 信息 ， 转 发 该 分 组 到 对 应 的 网 关 ( 相 邻 
器 的 人 p 地 址 )。 若 路 由 表 中 出 现 多 条 表示 同一 个 自 的 网 络 地 址 的 表 项 时 ， 则 选择 子 网 掩 码 
长 、 度 量 值 最 小 的 表 项 。 这 种 选择 最 长 子 网 掩 码 表 项 的 方式 也 称 为 最 长 匹配 (longest 


如 果 路 由 表 中 不 存在 满足 条 件 的 表 项 ， 则 根据 路 由 表 中 默认 的 表 项 信息 转发 分 组 。 默 认 路 径 的 
IP 地 址 表示 为 0.0.0.0， 子 网 掩 码 为 0.0.0.0， 使 用 CIDR 时 记 为 0.0.0.0/0。 经 默认 路 径 的 转发 也 称 
为 默认 网 关 转 发 。 如 果 路 由 表 中 不 存在 默认 路 径 ， 路 由 器 会 告知 转发 错误 并 丢弃 该 分 组 。 


默认 网 关 的 范例 
例如 ， 图 3-19 中 路 由 器 A 将 端口 3 设置 为 了 默认 网 关 。 

这 时 ， II a 器 根据 分 组 中 192.168.3.0/24 的 网 络 地 址 信息 开 
始 检索 路 ， 寻 找 需要 从 哪个 端口 转发 。 由 于 路 由 表 中 没有 该 表 项 ， 因 此 适用 0.0.0.0/0 表 项 ， 
将 数据 表 从 庙 3 转发 出 去 。 


由 于 端口 3 和 互联 网 相连 ， 而 且 除 了 子 网 A 与 子 网 B 之 外 ， 所 有 发 向 其 
端口 3 转发 ， 因 此 个 人 计算 机 A 就 可 以 完成 互联 网 的 接 入 了 。 


目的 地 址 的 分 组 均 从 


[ 芯 


ee 根据 最 长 匹配 ， 相 对 于 192.168.0.0/16， 
I 选择 了 前 缀 更 长 的 192.168.0.0/24 


转发 目的 地 
转发 目的 地 接口 ，eth2 


目的 地 | 撞 码 网关 接口 度量 什 
pe rep pp ae 人 
192.168.0.0 ; 255.255.0.0 :192.168,254.254eth1 : 
192.168.1.254 i 
192.168.3.0 255.255.255.0 192.168.3.254 eth3 


192.168.1.1 


vv 


192.168.1.0/24 
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192.168.0.0/16 


192.168.3.0/24 


图 3-18 最 长 匹配 的 范例 


路 由 器 A 的 路 由 表 


目的 地 网 络 转 


端口 
$ 口 1 


发 

192.168.1.0/24 端 
192.168.2.0/24 端口 2 
0.0.0.0/0 端口 3 


192.168.1.0/24) \192.168.2.0/24 


互联 网 


图 3-19 默认 路 径 与 默认 网 关 
03.05.05 ”静态 路 由 选择 

网 络 管理 员 在 路 由 器 中 手动 设置 路 由 表 表 项 信息 的 方式 称 为 静态 路 由 选择 (static routing) ， 手 
动 设置 的 路 由 表 表 项 也 称 为 静态 路 径 (static route) 。 静 态 路 由 选择 可 以 在 配置 默认 路 径 或 定义 
存根 网 络 (stub network) 时 使 用 。 


所 谓 存根 网 络 是 指 仅 通过 1 台 路 由 器 连接 ， 与 外 部 网 络 之 间 只 有 一 个 出 入 口 的 网 络 。 


转发 至 192.168.1.0/24 的 网 络 只 
存根 网 络 需 将 10.1.1.1 设 置 为 网 关 即 可 
192.168.1.0/24 


路 由 器 A “路 由 器 
个 人 计算 机 A 
图 3-20 存根 网 络 
使 用 静态 路 由 的 基本 路 由 选择 流程 


1. 个 人 计算 机 A 发 出 分 组 。 
2. 路 由 器 A 接收 到 该 分 组 ， 计 算 IP 首部 校 验 总 和 ， 确 认 结果 是 否 正确 。 
3. 路 由 器 A 参考 路 由 表 ， 获 取 下 一 跳 的 接口 信息 (图 3-20 中 下 一 跳 的 地 址 为 10.1.1.2) 。 
4. 路 由 器 A 将 IP 首部 的 TIL 值 减 1。 


5. 路 由 器 A 参照 ARP 表 ， 获 取 下 一 跳 的 MAC 地 址 信息 ， 如 果 无 法 得 到 该 信息 则 进入 ARP 流 
程 。 


6. 路 由 器 A 根据 下 一 跳 的 MAC 地 址 信息 生成 以 太 网 数据 帧 ， 并 将 数据 帧 从 接口 转发 至 网 络 。 


03.05.06 ”动态 路 由 选择 


当 网 络 规模 很 大 、 连 接 的 路 由 器 数量 很 多 时 ， 从 物理 层面 上 来 说 ， 通 过 管理 员 手 动 设置 路 由 表 表 
项 信息 是 不 可 能 的 ， 这 时 就 需要 用 到 动态 路 由 选择 (dynamic routing) 的 方式 ， 即 在 路 由 器 之 间 
交换 信息 自动 生成 路 由 表 表 项 信息 。 路 由 器 之 间 进 行 信息 交换 需要 用 到 路 由 选择 协议 (routing 
protocol， 也 可 简称 为 路 由 协议 ) 。 路 由 选择 协议 定义 了 路 由 器 之 间 如 何 交 换 及 存 取 路 由 信息 的 
一 系列 规则 ， 在 路 由 器 之 间 进 行 交互 时 ， 如 果 使 用 (进行 处 理 ) 的 路 由 选择 协议 不 匹配 ， 则 无 法 
交换 正确 的 路 由 信息 。 


时 网 络 中 会 同时 使 用 静态 路 由 和 动态 路 由 混合 的 路 由 选择 方式 。 这 时 在 路 由 表 表 项 中 会 清晰 地 
记录 下 哪 条 路 径 属于 静态 路 由 ， 哪 条 路 径 属于 选择 
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如 果 网 络 使 用 动态 路 由 ， 需 要 耗费 一 定 的 时 间 通 过 交互 的 方式 从 其 他 路 由 器 中 获取 路 由 信息 ， 医 
此 路 由 表 会 形成 逐渐 增 大 的 态势 ， 最 终 整 个 网 络 上 所 有 的 路 由 部 会 携带 完成 形态 的 路 由 表 ， 该 
过 程 称 为 收 你 ， 有 时 也 称 为 汇聚 《convergence) 。 于 态 到 收敛 完成 形态 花费 的 时 间 
称 为 汇 引 (convergence time) ， 汇 聚 时 间 越 路 在 越 稳定 。 般 而 言 ， 参 与 收敛 的 路 由 器 
数目 越 多 ， 路 径 的 汇聚 时 间 越 长 ， 不 过 该 时 间 的 长 短 还 和 路 由 算法 相关 ， 算 法 不 同 ， 时 间 的 长 短 
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区 用 动态 路 由 时 ， 在 以 下 情况 会 发 生路 由 絮 之 间 的 路 由 信息 交互 。 
*( 网 络 内 首次 运行 路 由 选择 协议 时 。 
" 网 络 内 添加 新 的 路 由 器 或 链 路 时 。 
" 网 络 内 路 由 器 被 扼 下 或 链 路 被 切断 导致 发 生 故 障 时 。 (目的 地 网 络 的 角度 ) 
动态 路 由 的 分 类 
路 由 选择 协议 可 以 分 为 在 自治 系统 (AS，Autonomous System) 内 部 运行 的 IGP (Interior 


Gateway Protocol， 内 部 网 关 协 议 ) 和 在 AS 之 间 运 行 的 EPG (Exterior Gateway Protocol， 外 部 网 
关 协 议 ) 两 类 。 这 里 AS 是 指 ISP 或 学 术科 研 网 等 在 大 规模 机 构 中 使 用 的 独立 网 络 ， 用 AS 编号 


让 中 ， 作 为 EPG 的 代表 在 业内 广泛 使 用 的 是 BGP (Border Gateway Protocol， 边 缘 网 关 协 议 ， 具 
体内 容 见 本 节 后 文 ) 。 


而 IGP 根据 用 途 不 同 ， 也 分 为 不 同 的 种 类 ， 最 常用 的 是 RIP (Routing Information Protocol， 路 
言 息 协议 ) 和 OSPF (Open Shortest Path First, 开放 式 最 短路 径 优先 ) 。 表 3-13 列 出 了 主要 的 


根据 不 同 的 最 忧 路 径 算法 ，IGP 协议 可 以 细 分 为 距离 矢量 型 《distance vector) 、 链 路 状态 型 
(link state) 和 混合 型 (hybrid) 三 类 。 


距离 矢量 型 是 指 仪 根据 距离 (distance) 和 方向 (vector) 两 个 因素 进行 路 由 选择 。 方 向 是 指 从 哪 
一 个 接口 转发 ， 距 离 是 指 分 组 经 历 的 跳 数 。 路 由 选择 时 ， 直 接 选 择 距 离 目 的 地 跳 数 最 少 的 路 径 。 


链 路 状态 型 会 先 制 作 整 个 网 络 的 路 径 地 图 ， 然 后 依据 该 地 图 中 的 路 径 不 断 地 进行 路 由 选择 。 区 别 
于 距离 矢量 型 IGP 协议 中 每 个 路 由 器 仅 握 有 各 自 的 路 由 信息 ， 在 链 路 状态 型 IGP 中 所 有 的 路 | 
器 均 持 有 同一 份 网 络 路 径 地 图 。 
混合 型 是 路 由 选择 时 在 混合 使 用 距离 矢量 型 同 链 路 状态 型 IGP 协议 。 


表 3-13 主要 的 IGP 协议 


协议 名 称 标准 类 型 度量 值 规模 
E 了 模 碎 小 的 
RIP RFC1058 距离 天 跳 数 规模 交 小 的 网 
量 络 
E 由 模 克 小 的 
RIPv2 RFC2453 2 跳 数 规模 较 小 的 网 
E 了 模 太 小 的 
RIPng (IPv6) |RFC2080 跳 数 2 交 小 的 网 
话 殉 状 出 模 让 向 
OSPF RFC2328 链 路 大 带宽 (成 本 ) 2 交大 的 网 
OSPFv3 链 路 状 | 6 规模 较 大 的 网 
(IPv6) RFC2740 | 起 带 寅 (成 本 ) 由 
连 路 状 由 模 较 大 的 
IS-IS ISO10589 链 路 大 | 成 本 (手动 设置 每 个 网 络 接口 ) 交大 的 网 
IGRP 思科 公司 独 | 距离 天 | 复合 度量 值 (带宽 、 时 延 、 可靠 性 、 负 载 、MTU 大 小 共 5 | 规模 较 小 的 网 
有 量 项 ) 络 
思科 公司 独 | a 和 复合 度量 值 (带宽 、 时 延 、 可 靠 性 、 负 载 、MTU 大 小 共 5 | 规模 较 大 的 网 
EIGRP 省 混合 项 ) 


RIP 


RIP 路 由 信息 协议 是 动态 路 由 选择 历史 最 悠久 的 路 由 协议 ， 应 用 于 小 规模 网 络 中 。 路 由 器 使 用 
该 协议 与 相 邻 的 路 由 器 交换 链 路 信息 ， 通 过 贝尔 曼 一 福特 算法 ”找到 最 短路 径 。 


| 27 BI Bellman-Ford, 司 著名 数学 家 Richard Bellman 和 Lester Ford, 开 提出， 该 算法 在 图 论 中 和 迪 杰 斯 特 拉 的 最 短路 径 算法 齐 
名 。 译 者 注 


Hr 


RIP 使 用 的 度量 值 (metric) 是 到 达 目 标 网 络 需 要 经 过 的 跳 数 (需要 经 过 多 少 个 路 由 器 转发 ) 。 
一 般 而 言 ，RIP 在 每 30 秒 会 更 新 一 次 路 由 信息 ， 因 此 当 距 离 目 的 地 2 跳 时 ， 路 由 信息 的 获取 需 
要 30 秒 ， 当 距离 目的 地 5 跳 时 ， 则 需要 30 秒 x4， 即 120 秒 。 这 样 一 来 ， 当 网 路 规模 很 大 时 ， 
必然 会 出 现 路 径 无 法 收敛 的 情况 ， 因 此 RIP 定义 了 16 跳 “ 无 限 ” 距 离 。 当 某 个 网 络 节 点 从 相 邻 证 
点 收 到 度量 值 为 16 跳 以 上 的 表 项 信息 时 ， 则 该 表 项 源 地 址 的 网 络 不 可 达 (unreachable) 。 


RIP 协议 标准 文本 除了 有 单纯 表述 、 由 RFC1058 定义 的 RIP 版 本 1 (RIPv1) 以 外 ， 还 有 
RFC2453 定义 的 RIP 版 本 2 (RIPv2) 和 RFC2080 定义 的 、IPv6 使 用 的 RIPng。 


RIPv1 和 RIPv2 都 使 用 UDP 协议 的 520 端口 完成 路 由 器 之 间 的 路 由 信息 交换 。 不 同 的 是 ，RIPv1 
使 用 广播 通信 而 RIPv2 使 用 目的 地 址 为 224.0.0.9 的 多 播 通 信 。 另 外 ，RIPvi 还 是 有 类 路 由 协议 ， 
使 用 了 固定 分 配 A 类 地 址 、B 类 地 址 、C 类 地 址 位 数 的 自然 掩 码 。 


RIPv2 文 持 无 类 路 由 选择 ， 另 外 还 带 有 仅 从 特定 的 路 由 器 上 获取 路 由 信息 的 认证 功能 。 


RIPng 使 用 UDP 协议 的 521 端口 和 FF02::9 多 播 地 址 完成 路 由 器 之 间 的 路 由 信息 交换 。 由 于 IPv6 
协议 自 带 了 对 通信 发 起 方 和 对 方 的 认证 与 加 密 功能 ， 因 此 RIPng 不 再 携带 认证 功能 。 


于 RIP 的 实现 非常 简单 ， 因 此 即使 是 内 存 较 小 的 宽带 路 由 器 也 有 很 多 能 同时 支持 静态 路 
RIP 的 产品 。 另 外 ， 虽 然 RIPv1 和 RIPv2 可 以 混合 工作 ， 但 此 时 仅 有 RIPvl 生效 ， 所 以 在 
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尽量 使 用 | 


路 由 器 2 


192.168.1 a 


路 由 器 3 


路 由 器 4 


10.1.1.0/24 


se | 一 [ee 


ar (2) 端 D1 和 192 (3) re (4) a 
相连 192.168.1.0/24 168.1.0/24 网 络 有 168.1.0/24 网 络 有 168.1.0/24 网 络 有 
网 络 1 跳 的 距离 2 跳 的 距离 3 跳 的 距离 
图 3-21 距离 矢量 型 路由 选择 概要 
于 无 法 了 解 整 个 网 络 的 结构 ， 距 离 秋 量 型 路 由 协议 只 能 依靠 来 自 于 相 邻 路 由 器 的 信息 进行 路 由 
选择 ， 因 此 会 发 生路 环 路 问题 。 为 了 防止 路 由 环 路 ， 就 需要 使 用 水 平分 割 (split horizon) 技术 
避免 同一 条 路 由 信息 回流 到 产生 该 信息 的 端口 处 ， 或 采用 毒性 逆转 (poison reverse) 方法 ， 给 无 
效 的 路 由 信息 设置 一 个 通信 实体 不 可 达 的 “无 限 大 ”度量 值 (也 称 为 路 由 破坏 ，route 
poisoning) 。 
在 RIP 协议 中 ， 默 认 每 30 秒 更 新 一 次 路 由 信息 ， 但 如 新 发 现 了 某 条 度量 值 很 小 的 新 路 
径 ， 也 会 立刻 自主 触发 路 由 更 新 (triggered update) 。 这 一 机 制 能 够 缩短 网 络 路 径 的 收敛 时 间 。 
ma OSPF 
OSPF (Open Shortest Path First) 和 RIP 一 样 ， 同 属于 IGP 协议 。 尽 管 早 在 1989 年 就 发 布 了 
OSPF 第 一 版 的 RFC1131 标准 ， 不 过 现在 所 说 的 OSPF 一 般 是 指 1998 年 在 RFC2328 
(1998) 中 更 新 的 版 本 2 的 第 四 次 修订 版 。OSPF 是 用 于 大 规模 网 络 的 IGP， 因 此 成 为 电信 
运营 商 和 普通 企业 首选 的 路 由 选择 协议 。 另 外 ， 还 有 使 用 多 播 的 MOSPF (RFC1585) 和 对 
应 IPv6 的 OSPFv3 (RFC2740，OSPF for IPv6) 作为 OSPF 扩展 的 路 由 选择 协议 。 
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表 3-15 比较 RIP 与 OSPF 的 特征 


rder Router ) 


RIP OSPF 
方式 距离 矢量 型 链 路 状态 型 
路 由 算法 贝尔 曼 一 福特 迪 杰 斯 特 拉 
交互 数据 量 多 少 
广播 (RIPV1) 多 播 
链 咯 信息 发 送 方式 “| 所 (RIpY2) 单 播 
网 络 规模 小 规模 中 ~ 大 规模 
路 由 器 实现 简单 ， 小 型 路 由 器 也 能 采 主要 是 中 型 规模 以 上 的 路 由 器 采 
路 由 器 处 理 量 少 多 
收敛 时 间 长 短 
" BGP 
BGP (Border Gateway Protocol， 边 缘 网 关 协 议 ) 是 在 AS (Autonomous System， 自 治 系统 ) 
之 间 进 行路 由 选择 的 EGP 协议 。IPv4 所 使 | RFC1771 中 定义 的 BGP4 (BGP 版 本 
ay 而 在 IPv6 中 使 用 的 则 是 由 RFC2545 定义 的 BGP4+ (BGP for Plus) 协议 。 由 于 BGP 
需要 获取 非常 可 靠 的 大 量 交互 网 络 信息 ， 因 此 数据 传输 采用 TCP 协议 的 179 端口 进行 。 
在 日 本 ，AS 由 JPNIC? 进行 管理 ， 包 含 IJ、BIGLOBE、So-net 等 互联 网 服务 供应 商 ， 
KDDI、NTT 等 运营 商 和 大 学 、 政 府 机 关 等 700 多 个 机 构 宕 。 
AS 之 间 通 过 AS 编号 识别 ， 编 号 为 1~65535 的 16bit 值 。 其 中 64512~65535 为 私有 AS 编 
号 ， 与 私有 了 地 址 一 样 ， 可 以 在 不 与 互联 网 相连 的 私有 网络 中 使 用 。 
BGP 使 用 的 路 由 信息 和 IGP 的 路 由 信息 一 般 不 在 一 起 管理 。 也 就 是 说 ， 运 行 BGP 的 路 由 器 
会 同时 拥有 IGP 和 EGP 两 张 路 由 表 。 
OSFP 一 般 会 以 传输 媒介 0 的 带宽 作为 计算 路 径 的 成 本 ，BGP 则 会 利用 path 属性 
(path attribute) 来 计算 。 基 于 path 属性 和 方向 的 路 由 选择 称 为 路 径 矢 量 型 (path vector) 路 
由 协议 。 
| 28 该 机 构 相 当 于 我 国 的 CNNIC。 一 一 译 者 注 
29 通过 下 面 的 站 点 可 以 查阅 到 机 构 所 属 的 AS 编号 。 


http://www.nic.ad.jp/ip/as-numbers.txt 
http://www.iana.org/assignments/as-numbers 


其 他 路 由 选择 协议 


" IGRP 


内 部 网 关 路 


协 > (Interior Gateway Routing Protocol) 是 


样 同 国 距 离 天 量 
延 机 可 靠 性 也 


协议 。 与 RIP 使 
、MTU 五 个 参数 复合 


用 跳 数 表示 度 
来 表示 路 径 的 度量 值 


路 由 器 之 间 


" EIGRP 


和 IGRP 一 样 ， 


党 


增强 型 内 部 网 关 路 


a IS-IS 


IS-IS 也 是 


由 思科 公司 开发 的 IGP， 是 IGRP 匠 


js 


直 相 


对 应 ， 


vv \ 科 公 人 研 


发 的 IGP， RIP 一 


GRP 使 


`、 时 


协议 (Enhanced Interior Gateway Routing Protocol) 也 是 
所 以 命名 


版 (enhanced 版 本 ) ， 


选择 协议 集合 了 距离 矢量 型 和 链 路 状态 型 


蝇 症 


于 链 路 状态 型 的 路 


络 的 IGP， 与 OSPF 同居 


也 可 以 使 


IS-IS 


系统 


选择 的 主 


与 RFC 标准 
准 。ISO 8473 


议 。 


IS-IS 与 IP 网 络 


路 由 重 分 发 


于 大 规模 网 络 中 。 


4 络 协议 之 外 的 网 络 。 


。IS (Intermediate System， 中 间 系 统 
放 的 总 ES (End System， 终 端 系统 


的 TCP/AP 协议 簇 不 同 ，IS-IS 是 提供 


1 的 OSPF 类似， 使 


了 OSI 环境 下 路 | 


为 EIGRP。 该 路 


协议 ， 不 过 在 AS 之 间 


指 转 发 分 组 的 


入 Re 只 能 在 ， 时 科 公 司 生产 的 


) 搬 


行路 


选择 功能 的 ISO 标 


定义 的 CNLP (Connectionless Network Layer Protocol， 无 连接 的 网 络 


系统 ) 协 


和 ISO 9542 定义 的 ES-IS (End System to Intermediate System ， 终 端 系统 到 


当 网 络 中 运行 


GP 获取 的 儿 


过 杰 斯 特 拉 的 SPF 算法 计算 最 短路 径 。 


路 由 重 分 发 《redistribution) ， 
人 


他 各 类 路 


直路 由 协议 相 


直 会 使 OSPF 在 路 


部 AS 相关 


层 协 议 ) 


就 能 够 在 多 
息 加 入 OSPF 


选择 协议 分 发 相关 的 路 由 信 


匹配 的 种 子 度量 


重 分 发 时 ， 


以 及 不 同 路 


协议 之 间 收 敛 时 


于 反复 分 发 而 导 


时 值 (seed 


辣 的 不 同时 致 最 短 


管理 距离 (administrative distance) 对 信息 发 送 方 的 可 信和 度 ， 类 言 度 越 
高 。 在 路 i 到， 器 直 连 的 网 络 目的 地 路 种 是 静态 路 
径 ， 还 有 一 种 协议 获取 的 路 径 。 表 3-16 列举 了 这 三 种 路 径 的 管理 距离 示例 。 比 
如 ， 路 径 192. 168.1. 端 接 相 连 接连 到 网 络 科 上 ) 时 ， 由 于 该 路 径 确 实 
存在 ， 可 信 理 距离 最 远 并 在 路 由 表 中 添 力 这 时 在 相同 
的 路 器 中 1 RIP 协议 获取 了 端 J 地 为 192.168.1.0 的 路 径 。 由 于 RIP 协议 比 
网 络 接 ， 因 此 通过 RIP 协议 得 到 的 路 径 不 及 在 路 由 表 


中 i 汪 ; 
表 3-16 ”Cisco IOS 中 主要 的 管理 距离 (默认 值 ) 


管理 距离 值 


路 由 协议 管理 距离 值 
网 络 接口 直 连 0 
静态 (设置 网 络 接口 ) 0 
静态 (设置 的 下 一 跳 ) 1 
eBGP 20 
OSPF 110 
IS-IS 115 
RIP 120 
EGP 140 
iBGP 200 
不 明 路 径 255 
表 3-17 各 厂商 支持 的 路 由 协议 
品 (操作 系统 ) RIP OSPF BGP IGRP/EIGRP IS-IS 
Cisco IOS 路 由 器 o 0 o o 0 
Juniper JUNOS o o o x o 
Alaxala o o o x 人 注 1 
CenterCOM o o o x x 
注 1: 需要 有 许可 证 方 能 使 
03.05.07 IP 隧道 与 VPN 
个 通信 协议 被 其 他 通信 协议 封装 后 进行 转发 传输 的 技术 称 为 隧道 技术 。 在 处 于 网 络 上 的 两 台 
器 之 间 设 置 隧道 的 话 ， 就 可 以 在 路 由 器 之 间 根据 隧道 协议 构建 一 条 虚拟 的 通信 链 路 。 如 图 3-23 
所 示 ， 路 由 器 A 接收 到 的 原始 分 组 以 封装 后 的 形态 (encapsulation) 通过 隧道 协议 被 转发 到 目的 
地 路 由 器 B 中 。 路 由 器 B 随后 进行 解 封装 (decapsulation) ， 还 原 分 组 形态 ， 并 以 原始 形态 再 次 
转发 到 实际 的 目的 地 。 
于 该 技术 架设 直 连 通信 两 地 的 隧道 “虚拟 的 ) ， 因 此 也 称 为 隧道 技术 。 


隧道 协议 有 类 似 L2F、PPTP、L2TP 这 样 将 数据 链 路 层 数据 帧 封装 于 IP 分 组 中 的 L2 隧道 协议 ， 
还 有 类 似 GRE、IPsec 这 样 将 网 络 层 分 组 封装 于 人 P 分 组 中 的 L3 隧道 协议 。 
隧道 技术 多 用 于 构建 VPN (Virtual Private Network， 虚 拟 私 有 网 ) 网络， 尤其 是 使 用 IPsec ( 参 
考 第 5 章 ) 构建 加 密 的 VPN 提供 给 用 户 。 这 时 ，PC-A 和 PC-B 之 间 分 } 配 的 私有 地 址 处 于 一 个 网 
络 中 ， 而 路 由 器 A 和 路 由 器 B 之 间 则 使 用 全 局 地 址 ， 在 互联 网 上 相连 并 负责 数据 的 传输 。 
封装 解 封装 
EC CE 
PC-A 路 由 器 A a PC-B 

图 3-23 IP 隧道 技术 的 运行 机 制 
GRE 


GRE (Generic Routing Encapsulation ， 通 用 路 由 封装 ) 是 由 思科 公司 开发 的 隧道 协议 之 一 ， 协 议 
编号 为 43， 在 RFC2784 中 定义 。 


该 协议 主要 应 用 于 路 由 选择 协议 等 多 播 分 组 的 隧道 传输 
GRE 隧道 能 够 将 任意 协议 封装 到 IP 分 组 中 (图 3-24) 。 


由 于 GRE 没有 自 带 加 密 功 能 ， 因 此 无 法 保障 封装 数据 的 安全 性 ， 可 能 会 被 窃听 。 如 果 需 要 保障 
封装 数据 的 安全 性 ， 可 以 使 用 GRE over IPSec。 


@ 普 通 |P 分 组 


@GRE 封 装 后 的 分 组 


原 IP 分 组 的 部 分 


o 


图 3-24 普通 ITP 分 组 与 GRE 封装 后 的 分 组 的 不 同 
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CMC27 0 


Checksum ( 可 选项 ) Reserved1 ( 可 选项 ) 


Checksum Present 比 特 位 。 当 该 位 置 为 1 时 ， 表 示 Checksum 域 和 Reserved1 域 的 值 有 效 。 
ee 接收 方 如 果 没 有 RFC1701 且 1~5bit 在 非 O 时 ， 丢 弃 该 分 组 。6~12bit 预 留 以 便 将 来 使 用 。 


Ver 版 本 号 【 Version Number ) ， 一 般 填 0。 

Protocol Type : 协议 类 型 。 作 为 有 效 载 荷 数据 的 协议 种 类 定义 在 RFC1700 的 ETHER TYPES 中 ， 填 入 
对 应 的 值 。 

Checksum 校 验 总 和 。C 标 志 位 为 1 时 ， 填 入 GRE 首 部 与 有 效 载荷 的 IP 校 验 总 和 。 

Reserved1 预 留 以 便 将 来 使 用 。 


图 3-25 ”GRE 首部 


PPTP 


PPTP (Point to Point Tunneling Protocol， 
3Com 公司 等 共同 开发 设计 的 VPN 协议 ， 。 » Windows 
议 ， 在 Windows XP/Vista/7 中 同样 该 


0 证 


微软 公司 、Ascend 公司 30 、 
人 Windows NT4.0 开 人 


ee 天 


店 的 廉价 宽带 路 由 器 也 提供 了 PPTP 服务 器 功能 


况 。 


30 擅长 ATM 等 数 通 技术 的 公司 ， 


PPTP 使 用 PPP (Point-to-Point Protocol， 点 天 
行 传输 。 与 RAS (Remote Access Service， 远 


也 有 容错 计算 机 业务 ，] 


于 


妇 “。 


在 以 前 使 用 电话 线 拨号 上 网 时 ， 连 接 的 接 入 点 
等 服务 的 服务 器 ， 类 似 这 样 
用 PPTP 进行 连接 的 PPTP 


的 服务 器 被 称 为 RAS 
2 广义 上 则 包含 了 和 能够 


入 小 规模 网 络 的 | 博 


分 组 ,在 IP 网 络 上 通过 隧道 进 
> 器 进行 j PPP 连接 


地 址 分 配 、 接 入 互联 网 
RAS 和 s 六 凡是 Windows ls 
隧道 协议 进行 访 


问 的 VPN 集线器 和 终 Y 


在 隧道 中 PPTP 协议 使 用 
隧道 时 使 用 TCP 协议 的 


良 版 的 L3GRE 隧道 协议 ， 和 GRE 同样 使 


47 号 协议 ， 建 立 、 监 控 


在 运行 PPTP 隧道 协议 的 设备 


1 〈 即 在 PPTP 服务 器 与 PPTP 客 


墙 ， 需 要 保证 前 面 提 到 的 端 


设置 了 防火 
或 出 差 途中 通过 互联 


PPTP 在 最 初 是 为 ] 
网 接 入 用 户 所 在 的 
to-LAN 的 连接 中 。 


LAN-to-LAN 是 指 像 公司 区 


PPTP 仍旧 使 用 了 PPP 的 认证 
Challenge Handshake Authentication 1 Protocol ， 


芝 | 


¥ 将 网 络 互联 的 形态 。 
Ws 需要 加 密 时; 首先 做 


| 人 (Microsoft 


， 也 可 以 应 用 在 LAN- 


然后 再 进行 加 密 。 


其 中 加 密 算 法 在 北 


PPTP 协议 因为 微软 公司 的 参与 ， 所 以 可 
统 即 可 作为 PPTP 的 标 ; 


不 过 ， 目 前 从 PPTP 协议 的 设 i 
低 ， 使 得 该 协议 的 安全 性 令 
使 用 IPsec-VPN 或 SSL-VPN 且 


L2TP 


L2TP (Layer 2 Tunneling Protocol，L2 隧道 


L2TP 协议 充分 结合 了 微软 公司 基 
Forwarding，L2 转发 协议 ) 这 


L2TP 是 属于 VPDN (Virtual Private Dialup Network， 虚 拒 


户 接 入 私有 网 络 。 


采用 J 的 RC4 入 , 
，Windows 系列 的 操作 系 


j 128 位 的 RC4， 在 世界 范 
选择 的 客户 端 环境 非常 


人 


于 RFC2661 标准 


网络 协议 ， 用 于 拨号 用 


o 


人 让 是 40bit 的 RC4 加 密 强 度 过 
， 若 考虑 到 加 密 安 全 性 ， 还 是 


J PPTP 隧道 技术 和 思科 公司 独 有 标准 L2F (Layer 2 


用 户 


ISP 网 络 


NAS ( LAC ) 


GW (LNS ) 


和 


PSTN : 
NAS : 


| 


接 入 点 服务 器 ) 


ISP 


GW ; Ga 


teway ( 网 关 、 路 由 器 ) 


图 3-26 L2TP 的 接 入 方式 


用 


Access Server) 
L2TP 接 入 集 
的 认证 服务 器 完成 简 征 
的 认证 。 当 认 i 


为 


必 | 


(provider) ， 想 


户 在 家 中 通过 | 


成 对 NAS 


3-26 中 
Server, 


Et 
‘人心 


电话 线路 连 # 
为 网 络 接 入 


疡 到 公司 


服务 器 ，L2TP 


线 器 ) 。 用 


网 络 时 昌 


户 使 用 PPP 连接 工具 


与 此 


认证 。 


正 均 通过 后 ， 


的 GW 属于 公 


L2TP 网 络 服务 器 ) 


闵 FLET's31 ADSL 为 例 ，ISP 是 NTT 东 


司 的 网 关 (入 口 路 | 


。PPP 协议 封 


网 络 拓扑 逻辑 如 图 

开始 PPP 连接 后 ， 

同时 ，NAS 将 接 入 GW， 
就 完成 了 L2TP 隧道 的 建立 。 


器 ) ， 


该 网 关 在 L2TP 
装 在 L2TP 隧道 协议 中 ， 


: Internet Service Provider ( 互联 网 服务 供应 商 ) 


Public Switched Telephone Network ( 公共 电话 网 ， 即 固定 电话 网 络 ) 
Network Access Server ( 帮助 用 户 从 电话 线路 以 及 ADSL 线 路 连接 到 互联 网 的 


L 
公司 内 部 网 络 


3-26 所 示 。NAS (Network 

! 则 将 其 称 为 LAC (L2TP Access Concentrator, 
NAS 会 收 到 连接 请 求 ， 并 在 ISP 

公司 内 部 网 络 认证 服务 器 也 会 完 


称 为 LNS (L2TP Network 
J 来 完成 终端 和 GW 的 连接 人 


西 地 


区 公司 ， 


公司 内 部 网 络 则 


要 从 目 


&. 


| 


节点 连 入 互联 网 ( 


己 家 中 接 


图 3-27) 。 


本 某 


品牌 ， 和 中 国电 1 


图 3-27 FLET'sADSL 中 的 L2TP 
IPv6 隧道 


a ITPv6 over IPv4 隧道 


IPv6 over IPv4 隧道 


由 过 来 的 IPv6 分 组 在 
分 组 被 封装 成 了 IPv4 分 组 ， 


当 该 分 组 通过 IPv4 
成 IPv4 的 解 封装 ， 


作为 隧道 入 口 


网 络 到 达 隧 道 出 
并 将 解 封装 后 的 


入 到 互联 网 


的 


的 “我 的 e 家 ”类 似 。 一 一 i 


口 的 路 
IPv6 分 台 


首 是 指 通过 IPv4 的 网 络 传输 
的 路 由 器 


IPv6 的 通信 机 制 。 在 


多 


A 


FPF 被 加 上 了 IPv4 的 


此 时 IPv6 的 分 贡 


就 可 以 当 作 IPv4 分 组 进 和 


3-28 中 ， 


是 各 供应 节点 
| 户 可 以 通过 PPP 协议 接 入 各 供应 节点 ， 再 


从 供 


互联 网 


从 发 送 方 路 


部 ， 也 就 是 说 IPv6 的 
了 路 


操作 了 。 


器 B 时 ， 在 该 处 去 掉 之 


前 滩 加 


转发 到 IPv6 网 络 进行 后 面 


各 


鲁 的 路 由 过 程 。 


的 IPv4 首部 ， 


路 由 器 A 
IPv6 PC 


图 3-28 IPv6 over IPv4 隧道 的 连接 方式 


IPv6 over IPv4 有 多 种 实现 方式 ， 有 使 用 地 址 6to4 的 6to4 封装 技术 ， 也 有 通过 在 NAT 环境 
下 也 可 使 用 的 UDP 来 进行 封装 的 Teredo 技术 ， 还 有 用 于 将 IPv6 数据 导入 使 用 私有 地 址 的 
Intranet 中 的 ISATAP 技术 。 


a ITPv4 over IPv6 隧道 


使 用 IPv6 网 络 进行 IPv4 分 组 的 通信 机 制 。 像 FLET's 光 Next3 那样 需要 在 IPv6 网 络 中 进行 
IPv4 通信 时 ， 必 须 将 IPv4 的 分 组 封装 到 IPv6 的 分 组 中 进行 传输 。 


| 对 同 为 日 本 某 电信 品牌 。 一 译 者 注 


03.05.08 IP 多 播 
什么 是 多 播 

多 播 是 向 多 个 接收 者 同时 发 送 相同 数据 的 过 程 ， 一 般 用 于 同时 传输 动态 画 面 等 情况 。 构成 多 播 网 
络 的 路 器 可 以 将 特定 主机 发 送 的 多 播 分 组 复制 并 转发 到 其 他 多 个 网 络 节点 。 多 播 分 组 发 送 源 主 
机 称 为 source 或 sander， 接 收 的 终端 则 称 为 listener 或 receiver 。 


在 多 播 中 ， 多 个 接收 多 播 数据 的 终端 会 被 分 组 ， 每 个 多 播 组 的 识别 号 使 用 IPv4 的 224.0.0.0/4、 
IPv6 中 的 ff00::/8 等 范围 的 多 播 地 址 。IPv4 多 播 好 址 的 分 半 如 玫 3-18 所 示 。 


表 3-18 IPv4 多 播 地 址 分 类 


名 称 IP 地 址 范围 说 明 
Local Network Control 224.0.0.0~224.0.0.255 ;ET a 、 等 内 部 网 圣人 控制 本 裕 
Block (224.0.0/24) | OSPF、RIPv2、VRRP 等 内 部 网 络 中 的 通信 控制 协议 
Internetwork Control 224.0.1.0~224.0.1.255 网 , 号 
于 网 的 通信 控制 协 
Be 人 常用 于 在 NT 等 跨 互联 网 的 通信 控制 协议 


224.0.2.0-224.0.255.255， 


224.3.0.0-224.4.255.255， | 常用 于 没有 包含 在 Local Network/Internetwork Control Block 中 
ADHOC Plock 233.252.0.0- 的 应 用 程序 

233.255.255.255 

224.2.0.0-224.2.255.255 于 使 用 Session Announcement Protocol 作 为 通信 地 址 的 应 
SDP/SAP Block 人 人 2 
Source-Specific 232.0.0.0-232.255.255.255 Bai 
Multicast Block (232/8) 
GLOP Block 233.0.0.0~233.255.255.255 | 与 16bit 的 AS 编号 关联 使 


(233/8) 


图 3-29 中 ， 在 232.0.0.1 与 232.0.0.2 两 个 多 播 组 中 正在 传输 分 组 。 左 侧 两 个 listener 接收 
232.0.0.1 多 播 组 的 分 组 ， 右 边 两 个 listener 接收 232.0.0.2 组 的 分 组 ， 而 位 于 中 央 的 listener 能 够 
司 时 接收 两 组 的 分 组 。 


232.0.0.1 


( 多 播 地 址 : 232.0.0.1) 232002 ( 多 播 地 址 :232.0.0.2 ) 


图 3-29 多 播 数据 转发 的 流程 

在 接收 终端 通过 应 用 程序 对 多 播 进 行 设置 ， 就 可 以 设置 NIC (Network Interface Card， 网 卡 ) ， 
使 得 终端 能 够 获取 发 向 接收 多 播 卫 地 址 对 应 的 、 多 播 MAC 地 址 的 以 太 网 帧 格式 ， 从 而 完成 多 
播 分 组 的 接收 。 

多 播 的 MAC 地 址 


a IGMP 与 MLD 


在 IPv4 协议 中 使 用 IGMP (Internet Group Management Protocol，Internet 组 管理 协议 ) 协议 
来 管理 各 终端 是 否 加 入 (或 退出 ) 多 播 组 以 及 加 入 (或 退出 哪个 多 播 组 。 这 个 协议 如 表 3- 
19 所 示 ， 存 在 多 个 版 本 。 


MLD 是 ICMPv6 的 附属 协议 ，IGMPv2 对 应 MLDv1，IGMPv3 对 应 MLDv2 。 


表 3-19 IGMP 与 MLD 版 本 


IPv4 1Pv6 
IGMPv1 ( RFC1112 ) 


多 播 路 由 选择 协议 
a PIM-SM 与 PIM-DM 


在 对 多 播 分 组 进行 路 由 的 协议 中 还 有 PIM 。 


PIM-SM (Protocol Independent Multicast Sparse Mode， RFC2362) 属于 路 由 器 动态 生成 路 径 
言 息 的 协议 。 由 于 PIM 是 基于 单 播 路 由 选择 运行 的 多 播 路 由 协议 ， 因 此 PIM 在 实际 实现 时 


03.06 


™ 


03.06.01 


需要 与 RIP 或 OSPF 等 路 


SM (Sparse Mode， 稀 玻 模 式 


PIM-SSM (Source Specific Multicast, 


(Dense Mode, 


PIM-SSM 


通知 上 一 级 PIM 路 由 器 以 提高 安全 性 ， 
Multicast， 任 意 源 多 播 ) 方式 。 
SSM 在 实现 时 需要 

" DVMRP 


DVMRP (Distance Vector Multicast Routing Protocol， 距 离 矢 量 多 播 路 由 选择 协议 ) 协议 是 在 
选择 协议 ， 中 具体 考虑 了 DV (Dista 
应 用 。 该 协议 最 早 开发 于 20 世纪 90 年 代 ， 是 最 早 的 多 播 路 由 选择 协议 ， 从 1992 年 开始 ， 
在 多 播 实验 网 MBONE (Multicas 
3 PIM-SM) 。 运 行 DVMRP 的 路 由 器 之 间 会 交换 发 往 目 的 地 的 单 播 路 径 信 


RFC1075 


MBONE 已 使 


ei 


由 协议 协同 工作 。 
用 于 listener 处 于 游离 分 散 状态 时 进行 


稠密 模式 ) 用 于 listener 处 于 密集 状态 时 进行 高 效 通信 。 


定义 的 距离 矢量 型 的 路 


t Backbone, 


源 特定 多 播 ) 是 PIM-SM 的 扩展 协议 ， 
与 SSM 相对 的 是 源 不 特定 的 ASM 


吏 用 IGMPv3 并 指定 源 IP 地址。 


多 播 主干 网 ) 中 得 到 具体 应 用 


了 高 效 通 信 。DM 


将 多 播 源 信息 


(Any Source 


nce Vector) 的 


(现在 的 


文 些 路 径 信息 通过 RPF (Reverse Path Forwarding， 逆 向 路 径 发 送 ) 进行 转发 。 


当 在 进行 RPF 的 过 程 中 遇 到 不 支持 DVMRP 协议 的 路 由 器 时 ， 使 用 IP 隧道 技术 即 可 解决 问 


题 。 在 早期 的 MBONE 中 由 于 存在 很 多 不 文 持 DVMRP 的 路 由 器 ， 因 此 不 得 不 大 量 使 用 IP 


MBONE 网 络 。 
桌面 式 路 由 器 几乎 都 不 支持 多 播 路 


由 ,不 过 


会 文 持 表 3-20 中 列 出 的 与 多 播 相关 的 功 人 


CC 
o 


表 3-20 桌面 式 路 由 器 支持 的 多 播 相关 功能 


功能 名 说 明 
Multicast Snooping (多 播 侦 听 ) 于 管理 和 侦 听 多 播 分 组 ， 阻 止 无 用 IP 多 播 分 组 的 泛滥 (flooding) 
Multicast 隧道 传输 模式 与 Snooping 功能 组 合 使 用 ， 用 于 提高 在 无 线 LAN 中 IP 多 播 分 组 的 可 靠 性 


了 解 路 由 器 搭载 的 各 种 附加 功能 


尽管 路 由 器 是 执行 路 由 选择 的 网 络 硬件 ， 
路 由 器 功能 的 分 类 


但 也 同 


关 ” 洪 瞄 回 


旨 
Ls 
ES 

出 并 


雇 
过 

D> 
CC 
着 
沁 
局 


并 主要 提供 路 由 选择 功能 的 


时 提供 了 其 他 各 种 各 样 的 功能 


网 络 硬件 ， 但 也 能 够 完成 在 路 


等 属于 数据 链 路 对 和 物 到 


E 层 的 相 


关 操 作 。 另 外 ， 最 新 的 路 由 器 基于 


电话 的 VoIP 功能 等 属于 传输 


器 厂商 提 仁 


表 3-21 路 由 器 的 主要 功能 


层 和 应 用 层 的 相关 功能 


的 功能 各 不 相同 ， 但 大 致 可 以 分 为 以 下 几 个 类 型 ， 如 表 3-21 


器 以 太 网 接口 处 
至 还 提供 了 安全 


所 示 。 


OS 参考 模型 


功能 


操作 系统 管理 、 


元 余 化 等 


> 
起 
WN 
& 
加 
Bn 


安全 保障 (IPS、 代 


理 、SSL-VPN 等 ) 、VoIP 


网 络 层 、 传 输 层 


TCP/IP (NAT、 路 


选择 等 ) 


、TCP/IP 以 外 的 协议 复 、IPsec-VPN、QoS 


OS 参考 模型 


层 、 数 据 链 路 层 


LAN 交换 、LAN 以 外 的 物理 


层 与 数据 链 路 


功能 


层 协 议 、WAN、 无 线 LAN 


LAN 交换 功能 请 参考 本 书 第 2 章 ， 安 全 保障 与 VPN 请 参考 本 书 第 5 章 ， 无 线 LAN 等 内 容 可 以 
参考 本 书 的 第 6 章 。 
03.06.02 ”支持 TCP/IP 以 外 的 协议 入 
AppleTalk 
AppleTalk 是 指 Apple 公司 在 Mac 操作 系统 中 提供 的 专用 网 络 功能 也 可 上 以 指 实现 该 网 络 功能 时 
到 的 一 系列 协议 。 随 着 TCP/IP 的 普及 ，Apple 公 司 最 近 的 产 品 也 已 开始 逐步 剥离 AppleTalk， 
从 Mac OS X 10.6 开始 就 不 再 支持 AppleTalk。 不 过 Cisco IOS 以 及 CentreCOM34 依然 提供 对 其 的 
支持 。 
34 Allied Telesis 公司 的 网 络 操作 系统 
DECnet 
DECnet 是 美国 DEC 公司 ( 现 属 HP 公司 ) 于 1975 年 发 布 的 网 络 产 品 集合 的 总 称 。 该 网 络 协 
议 用 于 DEC 公司 小 型 机 之 间 的 互 连 ， 目 前 Cisco IOS 提供 对 其 的 支持 。 
35 该 公 \ 型 机 的 先驱 ，PDP 系列 小 型 机 兽 创 下 一 代 辉 煌 ， 后 由 于 PC 的 兴起 被 康 柏 公司 收购 ， 随 后 康 柏 又 被 HP 收购 。 
一 一 译 者 注 
Novell IPX 
Novell IPX 是 Novell 公司 开发 的 网 络 层 和 传输 层 协 议 。IPX (Internet Packet Exchange， 互 联网 分 
组 交换 ) 一 般 用 于 Novell 公司 开发 的 NetWare 操作 系统 ， 网 络 层 中 使 用 IPX 地 址 。 直 至 20 世纪 
90 年 代 初 ， Novell IPX 都 是 在 企业 LAN 中 使 用 ， 但 是 现在 已 经 很 少 使 用 了 。 
Cisco IOS、CentreCOM、YAMAHA RT 系列 提供 了 对 该 协议 的 支持 。 
表 3-22 各 厂商 对 各 个 协议 簇 的 支持 情况 
产品 (操作 系统 ) IP IPX DECNet AppleTalk 
Cisco IOS 路 由 器 oO O 人 9 
Juniper JUNOS o x x x 
ALAXALA Networks O O x x* 
CenterCOM O O 芝 O 〇 
YAMAHA O 人 x x 
面 式 O x x x 


03.06.03 LAN 交换 


大 多 数 宽 带路 由 器 都 有 一 个 WAN 端口 和 若干 个 LAN 端口 。 家 庭 以 及 小 规模 办 事 处 可 以 将 多 台 
个 人 计算 机 连接 LAN 端 通过 WAN 端口 接 入 到 互联 网 。 与 此 同时 ， 各 个 LAN 端口 之 间 也 
能 够 交换 数据 。 
除了 宽带 路 由 器 之 外 ， 其 余 类 型 的 路 由 器 也 能 够 在 多 个 接口 之 间 交 换 LAN 。 
有 关 LAN 交换 的 详细 内 容 可 以 参考 本 书 第 2 章 。 

03.06.04 支持 LAN 以 外 的 物理 层 和 数据 链 路 层 协议 


如 今 大 多 数 互联 网 均 是 通过 以 太 网 完成 互 连 的 。 以 太 网 原本 是 
从 万 兆 以 太 网 出 现 之 后 也 开始 逐渐 应 用 于 广域网 (WAN) 了 。 


除 以 太 网 之 外 ， 主 要 在 广域网 中 使 用 的 数据 链 路 层 协 议 如 表 3-23 所 示 。 
表 3-23 数据 链 路 层 协议 


协议 名 s 
称 说 明 


Wt 


LI 


于 局 域 网 (LAN) 的 技术 ， 但 


High-Level Data Link Control (高 级 数据 链 路 控制 ) 的 简称 ， 属 于 ISO 标 准 的 数据 链 路 层 协议 ， 以 IBM 公 
司 在 20 世 纪 70 年 代 中 期 提出 的 、 用 于 SNA (Systems Network Architecture， 系 统 网 络 体系 结构 ) 环境 3 的 


SDLC (Synchronous Data Link Control， 同 步 数 据 链 路 控制 ) 协议 为 原型 改进 而 成 。 以 HDLC 协 议 进行 通 
信 的 分 组 称 为 HDLC 数 据 帧 


8bit 8bit 或 16bit 16bit 
HDEG 
En 
到 ER 和 
8bit 0 或 者 8bit 的 倍数 ( 长 度 可 变 ) ”8bit ( 可 选 ) 
RFC1661 定 义 ，HDLC 协 议 是 PPP 的 基础 ， 即 在 物理 链 路 上 进行 数据 封装 要 以 HDLC 为 依据 。PPP 协 议 
数据 链 路 层 中 的 LCP 完 成 链 路 的 建立 、 设 置 、 认 证 和 检测 ，NCP 完 成 IP、IPX、AppleTalk 等 网 络 层 协议 的 
选 定 与 设置 
网 络 层 
NCP (Network Control Protocol) 
数据 链 路 层 LCP (Link Control Protocol) 
HDLC (High-Level Data Link Control) 
PPP 欧 理 层 
PPP 还 提供 下 面 这 些 功能 


e 多 种 网 络 协议 的 链 路 复 用 (MP，Multilink PPP) 

e 链 路 质量 测试 

部 压缩 (Predictor、Stacker、MPPC) 
置 


户 认 证 (PAP 或 CHAP) 
出 错 检 测 (Magic Number) 


Asynchronous Transfer Mode (异步 传输 模式 ) 的 简称 。 属 于 数据 链 路 层 的 通信 协议 ， 可 以 使 用 逻辑 链 路 
进行 异步 数据 交换 。 数 据 单元 信 元 (cell) 采用 53 字 节 的 固定 长 度 ， 其 中 5 字 节 为 首部 ，48 字 节 为 有 效 载 
ATM 荷 。 原 计划 用 于 扩展 普通 电话 线路 的 B-I SDN 中 ， 截 至 2000 年 左右 速率 提升 到 OC-12 (622Mbit/s) ， 但 最 
近 已 经 不 太 使 用 。 在 高 速 WAN 传 输 线路 中 取而代之 的 是 POS (Packet over SONET) 或 者 基于 MPLS 的 、 
义 太 网 数据 帧 和 IP 分 组 的 传输 
乡 


的 
怖 中 继 分 组 通信 方式 的 一 种 。 通 信 方 式 比 X.25 网 络 更 简单 ， 但 整个 通信 网络 的 可 靠 性 较 差 。 该 协议 的 错误 纠正 
Ar | 在 上 层 进行 ， 通 过 使 用 品质 优良 的 线 缆 ， 能 够 降低 噪音 带 来 的 影响 以 及 线路 本 身 发 生 故 障 的 概率 。 可 以 
Relay) 提供 1.5Mbit/s 速 率 的 通信 业务 。NTT 通 信 提 供 过 一 个 名 为 super relay-FR 的 通信 业务 ， 即 使 用 了 该 类 协议 
技术 ， 不 过 该 业务 于 2011 年 3 月 终止 
M 
类 


(Frame 


iprotocol Label Switching (多 协议 标签 交换 ) 的 简称 ， 在 RFC3031 中 进行 了 标准 化 。 参 与 通信 | 
MPpLS \ 再 像 亿 路 由 那样 根据 地 址 信息 进行 路 由 选择 ， 而 是 为 一 个 路 由 器 分 配 一 个 标签 ， 并 以 此 为 信 近况 和 

择 下 个 转发 的 路 由 器 。 由 于 路 由 器 不 再 进行 路 由 选择 ， 仅 仅 负 责 转发 分 组 ， 因 此 该 协议 可 以 

速 转发 分 组 的 情况 。 MPLS 主 要 应 用 于 电信 运营 商 的 路 由 器 ， 构 建 电 信 运 营 商 或 大 型 企 业 的 大 规 入 网 络 


世 


RPR Resilient Packet Ring (弹性 分 组 环 ) 的 简称 ， 在 IEEE 802.17 标 准 中 定义 。 使 用 光纤 构成 带宽 共享 的 环形 
链 路 ， 拥 有 发 生 故 障 时 能 够 在 50 毫 秒 内 折 回 的 RPR 保护 技术 。 物 理 层 支持 以 太 网 以 及 SONET/SDH 


PPP over SONET 的 简称 ， 在 RFC1662 (PPP in HDLS-like Framing) 和 RFC2615 (PPP over SONET/SDH) 


POS 


中 定义 。 该 协议 使 PPP 分 组 可 以 无 需 使 用 ATM， 直 接 封装 成 JONET/SDH 数 据 帧 的 形式 在 网 络 上 传输 


36 该 环境 用 于 IBM 大 型 机 、 中 型 机 等 之 间 的 互联 ， 属 于 封闭 网 络 系统 ， 目 前 也 已 向 开放 的 
TCP/IP 过 渡 。 译 者 注 


表 3-24 中 总 结 了 除 以 太 网 以 外 ， 路 由 器 使 用 的 物理 层 协议 SONET/SDH 的 论 
表 3-24 物理 层 协议 
协议 名 称 说 明 


TT 
ASS 


田 内 容 总 


Bellcore 公 司 (现在 的 Telcordia 公 司 ) 37 以 SONET (Synchronous Opitical NETwork) 的 名 称 提出 ， 
ITU-T38 以 SDH (Synchronous Digital Hierarchy) 的 名 称 进行 了 国际 标准 化 。 在 北美 地 区 一 般 称 为 
SONET， 在 欧洲 地 区 则 大 多 称 为 SDH， 因 此 记 为 SONET/SDH。 该 标准 定义 了 光 进 行 多 模 传输 的 数 
据 帧 格式 ， 该 格式 中 包含 了 传输 速度 以 及 控制 信号 等 信息 。SONET 使 用 OC-n (Optical Carrier) 来 表 
示 传 送 速率 

SONET/SDH 名 称 与 带宽 
SONET 传 输 速 | SONET 数 据 | SDH 系 列 与 数 | 有 效 载 荷 带宽 线束 
率 系列 帧 格式 据 帧 格式 (kbit/s) = 
OC-1 STS-1 STM-0 50,112 51.840Mbit/s 
OC-3 STS-3 STM-1 150,336 155.520Mbit/s 
OC-12 STS-12 STM-4 601,344 622.080Mbit/s 
OC-24 STS-24 - 1,202,688 1.244160Gbit/s 
OC-48 STS-48 STM-16 2,405,376 2.488320Gbit/s 
OC-192 STS-192 STM-64 9,621,504 9.953280Gbit/s 
OC-768 STS-768 STM-256 38,486,016 39.813120Gbit/s 
SONET/SDH 
270 列 
9 列 261 列 


(Regenerator 
Section 
Overhead) 


有 效 载荷 


(Multiplexer 
Section 
Overhead 


125 微 秒 
SONET 的 数据 帧 格式 


月 被 瑞典 爱立信 公司 收购 。 译 者 注 
38 即 著名 的 国际 电 联 组 织 ， 其 发 布 的 规范 往往 有 着 很 高 的 权威 。 译 者 注 
IP 分 组 以 SONET/SDH 数据 帧 格式 进行 传输 时 ， 路 由 器 内 会 进行 如 下 人 处理 。 
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上 一 


37 Telcordia 公司 在 2012 和 


。 发 送 时 


IP-PPP-FCS generation-Byte stuffing-Scrambling-~>SONET/VSDH framing 


”接收 时 


SONET/SDH framing-Descramb1ling->Byte destuffing>FCS detection->PPP-IP 


Cable Network (DOCSIS S 缆 线 调制 解 调 器 等 ) 


通过 使 用 有 线 
ADSL、FTTH 普及 之 前 ， 


电视 网 络 (CATV) 
CATYV 网 络 就 曾 


，CATV 


人 够 为 用 


局 端 也 能 
曾 向 用 


户 提供 互联 网 接 入 服务 3。 在 
户 提供 速率 为 几 Mbit/s 的 宽带 


接 入 服务 。 


| 六 与 中 国 上 海地 区 的 “有 线 通 "业务 相似 。- 译 者 注 

这 种 互联 网 接 入 需要 在 CATYV 局 端 到 用 户 住宅 的 前 半 段 路 程 使 用 光纤 线路 ， 通 过 OF 
(Optical/Electronic signal converter) 即 光 纤 / 电气 信和 号 转换 器 将 光 信 和 号 变 为 电气 信号 ， 后 半 段 路 

程 再 使 用 同 轴 电 缆 完 成 数据 的 交互 。 

而 在 用 户 住宅 一 端 则 使 用 同时 带 有 WAN 侧 同 轴 电 缆 接口 和 LAN 侧 以 太 网 接口 的 缆 线 调制 解 调 

器 (cable modem) ， 将 个 人 计算 机 与 CATV 网 络 相连 。 (图 3-30) 


LE 


图 3-30 ” 缆 线 调制 解 调 器 


在 CATV 局 端 所 配置 的 路 


modem) 。 


连接 缆 线 路 由 器 和 缆 线 调制 
本 都 符合 1997 年 美国 


解 调 器 的 通信 方式 在 早 其 
CATV 同业 协会 MCNS (Multimedia Cable Network System Partners) 制 


器 (cable router) 或 中 ， 


心 调制 解 调 


月 随 厂商 的 不 同 


而 不 同 


， 但 目 


日 量 


(center 


前 使 


的 设 


的 DOCSIS (Data Over Cable Service Interface Specifications) 标准 。 


基 
定 


使 ee 90~600MHz 带宽 供 有 线 电视 业务 使 用 ，10~55MHz 带宽 中 
1.6~6.4MHz 作为 上 行 带 ， 户 到 CATYV 局 端 ) 、600~770MHz 带宽 中 的 6MHz 作为 下 
行 带宽 (从 CATV 局 端 到 接 入 用 户 ) 提供 给 互联 网 搂 入 业务 。 表 3-25 总 结 了 DOCSIS 各 个 版 本 
之 间 频 率 带宽 和 速率 的 不 同 之 处 。 
表 3-25 DOCSIS 各 版 本 之 间 的 差异 

版 本 功能 上 行 下 行 


版 本 功能 上 行 下 行 
频率 带宽: 
Se 频率 带宽 ，0.2~3.2MHz 0 A 
. 调制 方式 : QPSK、16QAM kt 
,\1997 最 大 速率 ，10.24Mbit/s 256QAM 
年 ) 最 大 速率 : 42.88Mbit/s 
DOCSIS 频 变 带 窒 . i 频率 带宽 : 6MHz 
11 安全 性 、Qos 扩 展 、 支 持 IP 多 | 席 率 带 帝 ，0.2~3.2MHz 调制 方式 ，64QAM 、 
调制 方式 : QPSK、16QAM 

(1999 | 播 最 大 速率 ，10.24Mbit/s OY 
年 ) 2 最 大 速率 : 42.88Mbit/s 
DOCSIS 频率 带宽 : 0.2~6.4MHz 频率 带宽 6MHz 
2.0 日语 -首位 :下 刻 调制 方式 QPSK、 调制 方式 : 64QAM 、 
(2002 提高 通信 速率 8/16/32/64/128QAM 256QAM 
年 ) 最 大 速率 : ”30.72Mbit/s 最 大 速率 : 42.88Mbit/s 
DOCSIS 频率 带宽 : 0.2~6.4MHz 频率 带宽 : 6MHz 
3.0 a 人 调制 方式 : QPSK、 调制 方式 : 64QAM 、 
(2006 | 信道 绑 定 、IPY6、AES 加 密 。 | 8/16/32/64/128QAM | 256QAM 
人 年) 最 大 速率 ;mx30.72Mbits 注 1 最 大 速率 : mx42.88Mbit/s 

注 1: DOCSIS 3.0 的 信道 绑 定 (channel bonding) 能 够 提高 同时 使 用 多 个 信道 时 的 通信 速率 。m 表示 信道 的 数量 ， 假 定 上 行 中 


m=4， 下 行使 用 m=4 或 m=8 的 情况 比较 多 。 


本 从 1999 年 开始 在 商用 宽带 领域 使 用 ADSL 技术 。 因 为 在 那 之 前 使 用 的 拨号 或 ISDN 均 属于 
按 量 收费 的 罕 带 系统 ， 因 此 可 以 说 是 ADSL 使 定额 付费 的 高 速 互联 网 接 入 服务 得 到 了 普及 


ADSL 是 通过 在 双 绥 线 的 固定 电话 线 缆 (金属 线路 ) 上 复 用 数字 信号 来 接 入 互联 网 的 DSL 
(Digital Subscriber Line， 用 户 数字 线路 ) 线路 之 一 。 由 于 该 线路 下 行 (从 NTT 局 端 4 至 用 户 
则 ) 和 上 行 (从 用 户 侧 到 NTT 局 端 ) 的 速率 不 同 ， 因 此 称 为 非 对 称 数字 用 户 线路 (Asymmetric 


o 


| 40 NTT 局 端 指 运营 商 的 局 端 。 一 一 译 者 注 


在 ADSL 中 ， 用 户 和 NTT 局 端 之 间 使 用 固定 电话 线 缆 连 接 ， 用 户 家 中 使 用 的 ADSL 调制 解 调 器 
和 运营 商 局 端 使 用 的 宽带 远程 接 入 服务 器 (Broadband Remote Access Server， 被 称 为 BRAS 的 路 
器 ) 之 间 使 用 L2TP 隧道 相连 (图 3-31) 。 而 用 户 家 中 的 个 人 计算 机 或 路 由 器 与 互联 网 服务 供 
应 商 的 RAS (Remote Access Server) 之 间 则 通过 L2TP 隧道 封装 ， 使 用 PPPoE 协议 完成 连接 。 


BRAS 的 路 由 器 是 适用 于 电信 运营 商 的 高 端 路 由 器 。 用 户 则 可 以 使 用 ADSL 调制 解 调 器 与 路 由 器 

(或 个 人 计算 机 ) 两 台 设备 组 网 ， 也 可 以 使 用 内 置 ADSL 调制 解 调 器 的 宽带 路 由 器 。 在 路 由 器 或 
个 人 计算 机 中 ， 需 要 设 定 互 联网 服务 供应 商 在 签约 时 提供 的 、 用 于 连接 PPPoE 的 用 户 名 和 密 
码 ， 并 以 此 作为 RAS 的 认证 信息 。 用 户 名 大 多 是 类 似 user@example.co.jp 这 种 ， 在 用 户 名 与 ISP 
域名 之 间 使 用 @ 符号 分 割 ， 类 似 电 子 邮件 的 格式 44。 


| 4 在 我 国 ， 中 国电 信 ADSL 宽带 接 入 业务 提供 的 用 户 名 不 是 这 个 格式 ， 而 是 类 似 ADxxxxx 的 形式 。 一 一 译 者 注 


o 


| 


个 通过 PPP over Ethernet 连 接 OD) 与 RAS 通 信 


ADSL 楼 宇 


络 终端 设备 
EX 网 络 终 济 设备 


3) 到 指定 互联 网 服务 
供应 商 的 路 由 选择 


力 


应 商 完成 连接 


图 3-31 ADSL 拓扑 图 
表 3-26 列 出 了 xDSL 的 分 类 信息 。 
表 3-26 xDSL 的 种 类 


名 称 线路 距离 速度 说 明 
1 对 2 线 上 行 也 称 为 全 速 ADSL， 使 用 ITU-T G.992.1 标 
aa (可 与 电 | 5 jm 左右 。|512k~4Mbivs | 准 (也 称 为 G.dmt) 的 DMT 调 制 方式 
户 线路 ) L 话 线路 通 | 下 行 (Discrete MultiTone， 离 散 多 音调 ) 。 
0 ) 1.5~52Mbit/s | 本 使 用 G.992.1 Annex C 标 准 
UADSL (Universal 1 对 2 线 上 衙 也 称 为 简易 版 ADSL 或 半 速 ADSL， 组 网 无 
Asymmetric Digital Subscriber | (可 与 需 分 离 器 ， 使 用 ITU-T G.992.2 标 准 (也 称 


5.4km 左 右 |512kbit/s， 下 
行 1.5Mbit/s 


[Ee 


Line， 通 用 非 对 称 数 字 用 户 线 i G.lite) 。 日 本 使 用 的 标准 是 G.992.2 Annex 
@ 


路 ) 
寸 2 线 上 行 -让 灿 人 所 A 
VDSL (Very High Bitrate 0 1 Mbpivs | 使 用 最 大 30MHz 的 高 频 信号 ， 最 大 传输 距 
Digital Subscriber Line， 超 高 话 线路 通 300m~1.4km | -> ”| 离 比 ADSL 短 ， 一 般 在 公寓 等 住宅 处 与 
速 数 字 用 户 线路 ) ) 13~52Mbits | FTTH 线 缆 配 合 使 
igh-bit-: igi 寸 4 线 人 = -好 
Si a。 20 缆 | |2Mbivs (或 | 上 下 行 采用 相同 速率 的 对 称 型 DSL。 推 荐 
户 线路 ) ” 线 ) 4.6Mbit/s) 使 用 ITU-T G.991 标 准 。 使 用 200kHz 带 宽 
a Subscriber 和 HDSL 一 样 是 上 下 行 对 称 的 DSTL。 使 用 1 
[i 弟 对 妈 宫 洒 数 衬 用 户 线 |1 对 2 线 |6km 2.3Mbivs “| 对 线 绕 而 不 是 两 对 。 推 荐 使 用 G.991.2 (也 
| 称 为 G.shdsl) 标准 


路 ) 


名 称 线路 距离 速度 说 明 


SDSL (Symmetric Digital EE 二 
RS a le ee 行 对 称 的 DSL (速率 相同 ) 。 推 荐 使 
人 Line， 对 称 数字 1 对 2 线 |2.4~6.9km 160k~2Mbit/s G.992.1 Annex H 标准 


另外 还 有 称 为 LRE (Long Reach Ethernet， 长 距离 以 太 网 ) 的 思科 公司 独 有 协议 ， 同 VDSL 类 
似 ， 使 用 UTP 线 绕 ， 支 持 半径 为 1.5km、 速 率 为 5~15Mbits 的 通信 。 


03.06.05 “拨号 接 入 


1993 年 日 本 在 开始 提供 商用 互联 网 接 入 服务 时 ， 是 采用 模拟 调制 解 调 器 通过 电话 线路 拨号 接 入 
互联 网 “当时 的 模拟 调制 解 调 器 ， 通信 速率 在 300bit/s~14.4kbit/s 左右 。 个 人 计算 机 连接 模拟 调 
制 解 调 器 ， 在 操作 系统 i 的 电话 号 码 、 j 户 名 、 密码 等 信息 ， 
即 可 完成 接 入 42 。 接 入 ， 点 配 有 支持 RAS (Remote Access Server) 功能 的 路 由 器 或 服务 器 作为 拨 
号 连接 的 服务 终端 。 


| 科 20 世纪 90 年 代 未 期 至 2000 年 初期 ， 挨 号 上 网 在 中 国 很 流行 。 一 译 者 注 


使 用 数字 业务 线路 ISDN (Integrated Services Digital Network， 综 合 业 务 数字 网 ) 时 ， 可 以 使 用 终 
端 适配器 来 取代 模拟 调制 解 调 器 连接 个 人 计算 机 。 


1995 年 ， 日 本 的 NTT 东 日 本 和 NTT 西日本 两 大 运营 商 开始 提供 深夜 电话 费 固 定 的 收费 方式 ， 
而 且 市 场 上 开始 销售 廉价 的 终端 适配器 ， 以 这 两 件 事 为 契机 拨号 接 入 互联 网 的 方式 迅速 普及 开 


拨号 接 入 互联 网 时 ， 数 据 链 路 层 使 用 PPP 点 对 点 协议 连接 个 人 计算 机 和 ISP 的 RAS。 当 RAS 作 
为 路 由 器 使 用 时 ， 类 多 数 需 要 将 RADIUS 服务 器 作为 认证 服务 器 协同 使 用 (图 3.32) 。RADIUS 
(Remote Authentication Dial In User Service) 即 远程 认证 拨号 用 户 服务 ， 定义 于 RFC2865/2866 

中 。 在 RAS 和 RADIUS 服务 器 之 间 采 用 RADIUS 协议 完成 认证 和 计 费 管理 


< mS > .3 
PPP RADIUS 
RAS 


RADIUS 


图 3-32 拨号 接 入 流程 
随 着 手机 的 普及 ， 手 机 和 PHS43 专用 的 调制 解 调 器 出 现 了 ， 它 使 用 户 可 以 像 固 定 电话 网 络 那样 使 
移动 网 络 拨号 接 入 互联 网 。 即 使 当前 FTTH 已 成 为 主流 接 入 线路 ， 但 在 移动 环境 下 还 是 有 大 量 
的 用 户 通过 拨号 接 入 互联 网 。 
旧 与 中 国电 信 的 小 灵通 制式 致 。 _ 译 者 注 


另外 ， 还 有 不 少 在 路 由 器 中 进行 使 用 ISDN 或 固定 电话 线路 的 拨号 连接 设置 ， 以 此 作为 常用 接 入 
线路 备用 方案 的 情况 。 此 时 ， 即 使 主线 路 接口 断路 ， 路 由 器 也 会 自动 拨号 接 入 互联 网 。 


03.06.06 “元 余 
路 由 器 元 余 


互联 网 最 初 是 基于 军事 目的 开发 的 ， 即 使 一 部 分 路 由 器 发 生 故 障 ， 也 能 够 通过 链 路 的 转换 来 继续 
通信 过 程 ， 即 具有 不 间断 通信 的 机 制 。 但 是 企业 网 络 与 互联 网 之 间 的 网 关 所 在 一 一 路 由 器 或 适 


电信 运营 商 的 核心 路 由 器 等 一 旦 发 生 故 障 ， 也 往往 会 造成 很 大 的 嘛 烦 。 故 障 无 法 完全 杜绝 ， 而 


定期 维护 时 同样 需要 将 路 由 器 与 网 络 断 开 ， 为 了 在 这 些 情况 下 依旧 能 够 向 用 户 提供 持续 不 断 


I 业务 ， 束 需要 将 路 由 器 见 余 。 


冷 备份 和 热 备份 


冷 备 份 (cool standby) 是 指 配 备 平时 不 运行 的 备用 设备 ， 当 运行 设备 发 生 故 障 时 ， 使 用 备 月 
设备 替换 。 备 用 设备 一 般 不 放 入 电源 也 不 接 入 网 络 ， 存放 在 用 户 处 或 销售 公司 、 制 造 公 司 的 

。 由 于 在 发 生 故 障 时 ， 只 需 将 故障 设备 进行 物理 替换 即 可 ， 因 此 该 类 产品 设计 与 使 用 
非常 简单 ， 但 需要 花费 一 定 的 时 间 进 行 设备 的 车 摘 与 启动 ， 在 这 期 间 将 会 断 用 户 的 业务 。 
另外 ， 自 动 同步 设置 和 连续 会 话 也 无 法 进行 。 


热 备份 (hot standby) 是 指 在 设备 运行 的 同时 运行 备用 设备 ， 当 运行 设备 发 生 故 障 时 ， 能 够 
自动 替换 备用 设备 。 如 果 速 度 够 快 ， 这 一 切换 过 程 可 以 在 发 生 故 障 的 几 秒 后 完成 。 


霸 


蔡 换 与 回 退 

在 元 余 结构 中 ， 停 止 运行 设备 ， 使 用 备用 设 进行 工作 的 过 程 称 为 葵 换 ， 英语 中 称 为 fail- 
over 或 switch-over 。switch-over 有 手工 切换 的 意思 ， 但 是 作为 路 由 器 功能 之 一 ， 使 用 元 余 协 
议 进 行 蔡 换 的 过 程 也 可 称 为 switch-over 。 


替换 后 再 次 恢复 到 原来 的 运行 设备 ， 也 就 是 从 处 于 运行 状态 的 备用 设备 再 切换 到 原来 的 运行 
设备 的 过 程 称 为 回 退 ， 英 语 中 称 为 fail-back 或 switch-back 。 


由 两 台 路 由 器 组 成 的 热 备份 机 制 中 ， 使 其 中 1 台 路 由 器 处 于 优先 运行 状态 的 操作 叫做 先 占 
(preempt) 操作 。 如 果 执 行 了 先 占 操作 ， 当 恢复 由 于 故障 导致 当 机 的 路 由 器 时 ， 即 使 当时 
处 于 运行 状态 的 备用 设备 并 没有 发 生 任 何 问题 ， 也 会 强制 切换 到 原来 的 运行 设备 。 

路 由 器 元 余 的 种 类 

路 由 器 元 余 的 种 类 如 表 3-27 所 示 。 


表 3-27 路 由 器 元 余 的 类 型 


种 类 | ”功能 说 明 
路 由 引擎 ”| 在 高 端 路 由 器 中 ， 一 般 会 在 机 框 中 安装 主 备 两 块 路 由 引擎 。 当 主 路 由 引擎 发 生 故 障 
pe 才 ， 立 刻 将 业务 切换 到 备 路 号 该 过 程 可 以 在 不 丢失 分 组 的 前 提 下 继续 提供 路 
硬件 内 服务 
部 的 元 | 根据 链 路 
余 结构 | 汇聚 情况 “| 将 多 个 物理 网 络 接口 汇聚 成 逻辑 接口 ， 当 组 成 逻辑 接口 的 某 个 物理 接口 发 生 故 障 时 ， 
使 物理 接 “| 其 他 物理 接口 可 以 继续 收发 通信 数据 
元 余 化 
主 备 方式 | 准备 两 台 路 由 器 ， 其 中 一 台 作 为 正常 运行 业务 的 活路 设备 (active) ， 也 可 以 称 为 主 设 
Re 备 (master) 或 首要 设备 (primary) 。 另 一 台 作为 发 生 故 障 时 替换 的 备用 设 
使 用 多 | Standby) (standby) ， 也 可 | 以 称 为 备 机 (backup) 、 从 设备 (slave) 或 次 要 设备 
个 机 杠 了 (secondary) 。 活 跃 设备 和 设备 必须 共享 关于 设备 的 设置 信息 
组 成 的 | 双 活 方式 | 准备 两 台 路 由 器 ， 其 中 一 台 作 为 首要 设备 (primary) ， 另 一 台 作 为 次 要 设备 
元 余 结 | (Active- | (secondary) ， 二 者 同时 运行 来 组 成 元 余 结构 。 这 种 方式 可 以 通过 与 负载 均衡 设备 并 
构 Active) 或 者 设置 DNS、 客 户 端 一 侧 的 路 由 信息 来 达到 负载 均衡 的 目的 
St 千 主 备 方式 或 双 活 方式 中 ， 使 用 3 台 以 上 的 硬件 协同 组 成 宛 余 结构 的 方式 
在 实行 主 备 方式 (Active-Standby) 时 ， 会 使 用 类 似 VRRP 的 元 余 协 议 。 尽 管 也 存在 像 思科 


公司 的 HSRP 这 样 的 厂商 独 有 宛 余 协议 ， 但 如 果 想 在 不 同 厂商 生产 的 路 器 之 间 构 成 元 余 结 
构 ， 还 是 需要 参考 RFC 标准 的 VRRP 宛 余 协议 。 


主 备 方式 是 将 两 台 物 理 路 由 器 组 成 1 台 虚 拟 的 路 由 器 ， 这 时 虚拟 路 由 器 的 耳 地 址 以 及 MAC 
地 址 由 两 台 物 理 路 由 器 分 担 。 


双 活 (Active-Active) 方式 还 有 如 下 特点 。 
。 使 用 负载 均衡 〈load balancer) 技术 


。 运 用 等 成 本 多 路 径路 由 或 DNS 轮 询 等 技术 
Es 
HH 


活跃 设备 和 1 台 备 用 设备 组 成 的 见 余 结构 称 为 1+1 见 余 结 构 ， 是 最 常用 的 热 备 份 方 
式 ， 通 常用 了 企业 网 络 的 数据 中 心 以 及 互联 网 网 关中 。 


和 i 在 集群 中 则 是 N 台 活 跃 设 和 1 台 备 用 设备 组 成 N+1 元 余 结构 。 在 电信 运营 商 等 需要 
处 理 大 流量 通信 的 情况 下 ， 路 由 器 大 多 采用 N+1 集群 的 元 余 形 式 。 例 如 ， 如 果 使 用 1 台 路 
由 器 能 够 处 理 3 分 之 1 总 业务 ， 那 么 就 需要 采用 N=3、 即 共 4 台 设 备 组 成 集群 。 
除 此 以 外 ， 由 N 台 活 跃 设备 和 N 台 备 用 设备 组 成 的 元 余 结 构 称 为 2N 宛 余 结构 。 
VRRP 


A 


VRRP (Virtual Router Redundancy Protocol， 虚 拟 路 由 元 余 协议 ) 是 RFC5798 中 定义 的 协议 ， 
于 路 由 器 的 元 余 与 复 。 通 过 该 协议 ， 可 以 将 多 台 路 由 器 组 成 1 个 群 组， 其 中 1 台 为 活跃 设备 ， 
其 余 为 备用 设备 。 与 此 同时 ，1 台 路 由 器 既 可 以 属于 多 个 群 组 ， 也 可 以 通过 设置 成 为 双 活 方式 ， 
组 成 N+1 的 宛 余 结构 。 


> 
| 分 组 。 


每 个 群 组 都 可 以 视 作 1L 台 虚拟 路 由 器 (virtual router) ， 与 各 个 物理 路 由 器 的 MAC 地 址 不 同 ， 虚 
拟 路 由 器 中 的 虚拟 MAC 地 址 是 按照 群 组 分 配 的 ， 并 设备 (master) 来 使 用 。 虚 拟 MAC 地 
址 值 的 形式 一 般 为 00-00-5E-00-01-XX， 其 中 XX 部 分 由 群 组 固有 的 VRID (Virtual Router 

Identifier， 虚 拟 路 由 器 标示 符 ) 来 分 配 。 


虚拟 路 由 器 接口 使 用 的 IP 地 址 也 称 为 虚拟 IP 地址， 该 了 P 地 址 是 否 被 物理 路 由 器 实际 使 用 这 
点 并 不 重要 ， 但 必须 保证 与 路 由 器 物理 接口 地 址 处 于 同一 子 网 中 。 


同一 个 群 组 内 的 物理 路 由 融会 被 分 配 1~255 范围 的 优先 级 (priority) 数值 ， 优 先 级 值 最 高 的 物理 


LI 


LI 


在 默认 状态 时 ， 主 设备 每 隔 1 秒 向 群 组 内 的 成 员 发 送 VRRP 通知 消息 ， 如 果 在 3 秒 内 群 组 没有 收 
到 来 自主 设备 的 消息 则 判断 主 设备 已 经 发 生 故 障 。 


日 主 设备 发 生 了 故障 ， 优 先 级 最 高 的 备用 机 将 升级 为 主 设备 。 同 时 还 会 给 发 生 故 障 的 原 主 设备 
分 本 到 一 个 较 低 的 优先 级 ， 以 便 在 快速 切换 状态 时 避免 切换 带 来 的 抖动 。 


HSRP 


HSRP (Hot Standby Router Protocol， 热 备份 路 | 思科 公司 
es 化 工作 之 后 成 为 该 公司 的 独 有 协议 ， 分 为 版 本 1 (HSRPv1) ， (HSRPv2) ， 只 

EB 在 运行 可 思科 公司 IOS 系统 的 设备 上 使 用 ， 无 法 与 其 他 协议 替换 。 另 一 方面 ，VRRP 则 是 
人 完成 了 标准 化 ， 各 个 厂商 的 路 由 器 只 需 支持 该 协议 氏 可 互联 互通 


两 个 协议 的 对 比如 表 3-28 所 示 。 


表 3-28 比较 VRRP 和 HSRP 


部 


名 称 VRRP HSRPv1 HSRPv2 
要 册 由 由 本 准 摧 形 坏 :| 思科 公司 独 有 标准 (在 ve 要 
标准 RFC 标 准 (在 RFC5798/3768/2338 文 档 中 以 标准 的 形式 记 RFC2281 文 档 以 信息 介绍 的 | 已 半 公 司 独 有 标 
载 ) B 式 记载 ) 准 


处 于 运 | Master Active Active 

行 状 态 

设备 的 

称呼 

处 于 备 

人 Backup Standby Standby 

组 群 数 | 0.255 (VRID) 0~255 (HSRP ID) \HSRP 

定时 器 | 和 i 各 毫秒 

He 

认证 ”|MD5 明文 MD5 

先 占 “| 默认 生效 默认 无 效 默认 无 效 

消息 人 P 224.0.0.18 224.0.0.2 224.0.0.102 

中 

er 协议 号 112 UDP 1985 端 UDP 1985 端 

虚拟 ee 00:00:0c:9f:fX:XX 

MAC |00:00:5e:00:01:XX (XX=VRID) ee (XXX=HSRP 

地 址 ， ID) 

大 先 级 1~255。 默 认 值 为 100。 优 先 级 数值 高 的 成 为 活 

¥tfE ”|1~255。 默 认 值 为 100。 优 先 级 数值 高 的 成 为 主 设备 跃 设备 。 优 先 级 相同 时 ，IP 地 址 值 大 的 成 为 活 

数值 跃 设备 

和 活 维 | 使 用 多 播 地 址 224.0.0. 四 通告 使 用 多 播 地 址 224.0.0.2 发 送 Hello 消 息 。 默 认 每 3 

寺 (advertisement) 。 以 1 秒 为 间隔 (通告 间隔 值 ) 发 送 消 | 秒 (hello 间 隔 值 ) 发 送 一 次 ， 如 果 接 收 方 在 

(Keep | 息 ， 如 果 接 收 方 在 Master Down _Interval 间 隔 (默认 为 3 | Holdtime 间 隔 (默认 为 10 秒 ) 内 没有 收 到 该 消 

Alive) 秒 ) 内 没有 收 到 该 消息 ， 则 视 为 主 设备 当 机 息 ， 则 视 为 主 设备 当 机 

IPv6 ”|VRRP 版 本 3 (RFC5798) 中 支持 不 支持 支持 
GARP 
在 使 用 主 备 方式 的 元 余 结构 中 ， 网 络 接 口 会 分 配 到 一 个 虚拟 IP 地 址 。 这 个 IP 地 址 在 进行 路 由 选 
择 时 会 被 提 共 给 路 由 器 便 用 ， 也 融 是 说 主 设备 A 和 备用 设备 B 会 带 有 同一 虚拟 IP 地 址 。 虽 然 两 
台 设 备 共用 一 个 卫 地 址 ， 但 设备 A 和 设备 B 的 MAC 地址 却 是 不 同 的 。 当 A 发 生 故 障 时 ， 设 备 
B 会 切换 到 主 设备 状态 ， 这 时 就 需要 路 由 器 向 所 连接 的 交换 机 发 送 一 条 “虚拟 IP 地 址 对 应 的 
MAC 地 址 已 变更 ”的 消息 ， 这 一 过 程 称 为 GARP (Gratuitous ARP， 无 故 ARP) 。 这 就 使 交换 机 
能 够 将 原本 发 送 至 设备 A 的 数据 帧 及 时 更 正 为 癌 设 备 B 发 送 (图 3-33) 。 
另外 ， 当 设备 处 于 先 占 状态 时 或 者 向 网 络 接口 插入 电缆 时 ， 也 会 触发 GARP， 并 通知 交换 机 对 
MAC 地 址 表 进 行 更 新 。 
需要 补充 的 是 ，GARP 还 可 以 用 于 检测 在 DHCP 的 过 程 中 IP 地 址 是 否 有 重复 分 配 的 问题 。 


图 3-33 


物理 MAC 地 址 : 11:22:33:aa:bb:cc 
物理 IP 地 址 : 10.1.1.1 
虚拟 |P 地 址 : 10.1.1.254 


物理 MAC 地 址 : 11:22:33:dd:ee:ff 
物理 IP 地 址 : 10.1.1.2 


此 时 ，PC 的 ARP 表 为 [10.1.1.254= 
11:22:33:aa:bb:cc]， 当 ping 地 址 为 
10.1.1.254 时 ， 返 回 设 备 A 的 地 址 


物理 MAC 地 址 : 11:22:33:dd:ee:ff 


物理 MAC 地 址 : 11:22:33:aa:bb:cc 物理 IP 地 址 : 10.1.1.2 
物理 IP 地 址 : 10.1.1.1 虚拟 IP 地 址 : 10.1.1.254 


; | 回 设备 B 发 送 GARP 消 
息 ， 告 知 10.1.1.254 
的 MAC 地 址 变更 为 
11:22:33:dd:ee:ff 


站 活跃 设备 (A) 当 机 
时 ， 立 刻 切 换 到 备用 . 
设备 (B) es @ PC 收 到 GARP 消 息 后 ， 


更 新 ARP 地 址 表 为 
[10.1.1:254=11:22:33: 
dd:ee:ff] 


不 使 用 虚拟 MAC 时 ， 通 过 GARP 更 新 交换 机 中 的 ARP 表 


物理 MAC 地 址 : 11:22:33:aa:bb:cc 
物理 iP 地 址 : 10.1.1.1 


虚拟 IP 地 址 : 10.1.1.254 物理 MAC 地 址 : 11:22:33:dd:ee:ff 
虚拟 MAC 地 址 : 00:11:22:33:44:55 物理 IP 地 址 : 10.1.1.2 


物理 MAC 地 址 : 11:22:33:dd:ee:ff 
物理 IP 地 址 : 10.1.1.2 


物理 MAC 地 址 : 11:22:33:aa:bb:cc | | 虚拟 IP 地 址 : 10.1.1.254 
物理 IP 地 址 : 10.1.1.1 虚拟 MAC 地 址 : 00:11:22:33:44:55 


2) 用 设备 会 发 送 一 条 
GARP 消息 告知 交 
换 机 10.1.1.254 的 
MAC 地 址 变更 为 
00:11:22:33:44:55 


活跃 设备 (A) 
当 机 后 ， 虚 拟 IP 
地 址 由 备用 设备 
( B ) 继承 


3) 交换 机 接收 到 GARP 消息 后 


[00:11:22:33:44:55=Port2] 


此 时 交换 机 的 MAC 地 址 表 为 
[00:11:22:33:44:55=Port1] 


将 MAC 地 址 表 信 息 更 新 为 


图 3-34 在 VRRP 中 发 送 虚拟 MAC 地 址 已 向 备用 设备 转移 的 消息 并 告知 交换 机 更 新 MAC 地 


址 表 的 GARP 
03.06.07 ”认证 


认证 是 指 用 户 在 接 入 网 络 时 ， 网 络 要 求 用 户 出 示 设 备 的 认证 信息 (用 户 名 以 及 密码 ) 


` 验证 用 户 


乱 不 1 


输入 的 认证 信息 是 否 正确 、 确 认 正 确 后 允许 用 户 接 入 网 络 这 一 系列 过 程 。 认 证 信 | 


E 确 时 ， 网 


络 将 拒绝 用 户 的 接 入 请 求 。 认 证 功能 有 很 多 种 ， 例 如 管理 员 身份 认证 、 拨 号 上 网 接 入 认证 以 及 


VPN 等 用 户 认 证 。 


RADIUS 


RADIUS 是 远程 认证 拨号 用 户 服务 (Remote Authentication Dial In User Service) 的 简称 。 


路 由 器 可 以 和 外 部 RADIUS 服务 器 协同 完成 路 由 器 管理 员 身 份 认证 或 客户 端 用 户 的 账户 认证 。 


例如 ， 通 过 路 由 器 拨号 上 网 或 进行 PPP 连接 时 ， 如 果 在 客户 端 登陆 界面 输入 用 户 名 和 密码 ， 连 
接 时 这 些 信 息 就 会 与 路 由 器 进行 交互 。 这 时 路 由 器 会 将 从 客户 端 接收 到 的 信息 中 继 到 RADIUS 


服务 器 ，RADIUS 服务 器 认证 成 功 后 才 允 许 用 户 接 入 。 


RADIUS 使 用 1645 和 1812UDP 端口 将 用 户 的 密码 散 列 后 发 送 。 由 于 该 协议 由 RFC 标准 化 ， 


此 各 个 设备 厂商 的 产品 均 提 供 了 对 该 协议 的 支持 。 


TACACS+ 


TACACS+ 是 终端 访问 控制 器 控制 系统 (Terminal Access Controller Access-Control System) 的 简 


称 ， 由 RFC1492 文档 定义 4。 该 系统 在 20 世纪 80 年 代 作 为 UNIX 远程 接 入 认证 协议 使 用 ， 
后 由 思科 公司 在 1990 年 扩展 开发 为 XTACACS (扩展 TACACS) ， 并 逐步 发 展 成 了 TACACS+。 


淄 


已 苏 达 大 学 在 该 RFC 文档 中 描述 了 思科 对 TACACS 的 扩展 ， 


竺 历史 上 是 在 思科 公司 的 帮助 下 ， 下 
化 定义 。 一 一 译 者 注 


TACACS+ 和 TACACS 的 名 称 几 乎 完全 相同 ， 功 能 却 有 很 大 的 差别 。 


并 没有 对 之 进行 标准 


与 RADIUS 只 对 应 IP 协议 不 同 ， 除 了 卫 协议 以 外 TACACS+ 还 能 够 支持 多 种 L3 协议 ， 如 


AppleTalk、NetBIOS、Novell (NASI) 、X.25 等 。 


另外 ， 该 协议 使 用 TCP 49 号 端口 ， 能 够 对 分 组 的 有 效 载 答 进行 加 密 ， 因 此 具有 高 安全 性 的 特 


点 。 但 只 有 思科 的 路 由 器 和 一 部 分 UNIX 系统 使 用 该 协议 ，RFC 也 没有 对 其 进行 标准 化 。 


03.06.08 QoS 


QoS (Quality of Service， 服 务 质 量 ) 是 保障 通信 质量 的 功能 ， 主 要 分 为 带宽 探 人 

类 。 不 过 也 有 根据 通信 量 的 优先 级 来 控制 带宽 的 情况 。 使 用 优 

类 别 (classification) ， 根 据 通 信 量 的 每 一 个 类 别 进 行 带 宽 控 甫 
(Class of Service， 服 务 类 别 ) 。 


优先 级 与 标记 


RFC791 定义 的 卫 首部 中 有 一 个 称 为 ToS (Type of Service， 服 务 类 型 ) 的 数据 域 ， 该 数据 域 在 


优先 级 对 通信 和 量 进行 分 类 的 过 程 称 为 
| 或 优先 级 控制 的 过 程 则 称 为 CoS 


庆 和 优先 级 控制 


Pe 


控制 IP 分 组 优先 级 时 使 用 。IP Precedence、DSCP 以 及 ToS 域 中 的 参数 会 随 着 不 


准 而 变化 (图 3-35) 。 


司 年 份 的 不 同 标 


3 4 5 6 7 比特 顺序 


0 1 4 
RFC 791 ( 1981 年 ) IP Precedence ToS | 是 


| 0 | 
RFC 1349 ( 1992 年 ) IP Precedence ToS oo 
| 0 | 


图 3-35 ”IPv4 首部 ToS 数据 域 的 变化 


对 于 拥有 相同 IP Precedence 以 及 DSCP 值 的 分 组 将 采用 同一 优先 级 进行 转发 控制 ( 表 3-29) 。 


比如 ， 将 拥有 某 个 优先 级 数值 的 分 组 全 部 放 到 PQ4 优先 队列 中 。 
| 二 即 Priority Queue， 优 先 级 队列 。 一 一 译 者 注 


根据 发 送 源 、 发 送 目 的 、 端 口号 、 协 议 等 各 种 信息 ， 在 卫 首部 的 ToS 数据 域 中 
的 功能 称 为 优先 级 标记 (Marking) 。 


表 3-29 ”IP Precedence 与 DSCP 的 种 类 


填 入 或 变更 某 值 


IP Precedence DSCP 
数值 | 二 进 制 服务 类 型 值 | 二 进 制 注 1 类 别 
0 000 Routine 0 |000xxx 尽力 服务 (Best Effort) 
下 001 Priority 8 |001xxx AF (Assured Forwarding) 类 别 1 
2 010 Immediate 16 |010xxx AF 类 别 2 
3 011 Flash 24 |011xxx AF 类 别 3 


100 
101 


Flash override 


Critical 


100XXX 
101xxx 


AF 类 别 4 


EF (Express Forwarding) 


110 


Internetwork control 


110xxx 


Control 


4 
3 
6 


111 


Network control 


111xxx 


Control 


注 1: 


二 进 制 数 


醒 


中 的 x 表示 可 以 填 入 0 或 1。 


保持 缓存 与 队列 处 理 


分 组 


从 路 由 器 


网 


存 ， 


组 寄 时 无 法 从 


> 


在 缓存 中 存放 数据 


络 接 


风 


络 接 


一 崩 分 组 在 缓存 
据 称 为 队 淹 (queue) 
(queuing) 。 


日 常生 活 中 也 有 队列 处 理 


个 等 待 队列。 等 待 结 


1 以 FIFO 


吉 账 的 


发 生 


六 各 中 


就 是 当前 没有 j 塞 。 
竺 队列 时 ， 也 就 是 发 生 了 和 


j 塞 。 


输入 上 | | 输出 
缓存 | | | 缓存 


转发 时 ， 会 暂 存 于 
的 过 程 称 为 
转发 到 线路 


) 或 等 待 队列 ， 


内 存 中 的 数 ] 
果 持 缓存 (buffering) 。 


上 ， 基 


此 需要 暂时 


first-in 


而 分 组 


first- 


在 路 


所 缓存 (buffer) 
当 通 信 线 路 上 人 过 到 , 
保存 在 缓存 中 ， 


To 每 个 


lk 


Out, 


网 络 接口 均 有 组 


突 时 ， 分 
的 数 


址 “| 


先入 先 出 ) 的 方式 处 理 。 


名 上 等 待 处 理 的 过 程 则 


的 例子 。 比 如 在 超市 结账 时 ， 
人 相当 于 路 
反之 ; 当 


器 中 的 分 组 ， 
所 有 结账 设备 前 都 有 人 在 结账 ， 也 就 


转发 处 理 


输入 
缓存 


输出 
缓存 


超市 


超市 中 有 5 台 


输入 
缓存 


输入 
队列 


队列 


| 


并 | 


输入 
队列 


输出 
队列 


| 


你 为 队列 处 理 


结账 设备 ， 也 就 是 说 会 有 


没有 人 所 以 没有 人 需要 结账 的 状态 


是 说 结账 设备 前 形 


输出 
缓存 


队列 


匡 


输出 
队列 


LH I 


图 3-36 ”队列 处 理 的 流程 


De 


WE 


附带 优先 级 的 队列 处 理 

路 由 器 转发 的 分 组 中 存在 着 各 种 各 样 的 数据 ， 比 如 时 延 很 小 的 VoIP 和 流 媒体 ne 等 数 
据 ，FTP、 邮 件 、Web 网 页 浏览 等 虽然 存在 时 延 但 不 会 造成 什么 问题 的 数据 等 等 。 者 对 这 些 数据 
均 采 用 同一 标准 进行 FIFO 队列 处 理 的 话 ， 将 会 出 现 路 由 器 为 了 转发 大 量 FTP 数据 而 导致 IP 电 
话 无 法 使 用 的 问题 。 

为 了 解决 这 一 问题 ， 路 由 器 需要 采用 附带 优先 级 的 队列 处 理 方式 。 

优先 级 是 根据 下 面 这 些 信息 定义 的 。 


"IP 首部 的 Tos 数据 域 或 DSCP 数据 域 。 


表 3-30 总 结 了 附带 优先 级 队列 处 理 


的 ] 


由 的 IP 地址、 协议 编号 、 


标 端 


J 


的 几 种 类 型 。 


表 3-30 附带 优先 级 队列 处 理 的 种 类 


(Priority |。 分 组 输入 接 
Queuing， | e。 分 组 大 小 
优先 级 队 ”|。 是 否 已 被 分 片 
列 ) e 访问 控制 列表 中 记录 的 信息 


名 称 说 明 
根据 优先 级 高 低 决定 转发 顺序 ， 优 先 级 越 高 的 分 组 越 容易 被 转发 。 思 科 公 司 的 路 由 器 中 ， 按 优先 级 从 
高 到 低 依 次 提供 了 high、medium、normal、low 四 个 优先 级 队列 。 接 收 到 的 分 组 根据 以 下 信息 分 类 。 
PQ e TCP/UDP 端 口号 


当 分 类 完成 后 ， 将 这 些 分 组 分 配 到 各 自 的 优先 级 队列 中 。 路 由 器 会 保障 高 优先 级 队列 的 带宽 ， 只 要 高 
沁 先 级 队列 中 存 在 未 被 发 送 的 分 组 ， 乓 优先 级 队列 中 保存 的 分 组 就 会 一 直 等 待 下 去 


EO 的 情况 较为 普遍 


但 只 需 设 置 每 个 队列 中 分 组 的 数目 或 字 节 数 。 随 后 将 采用 
CQ 例如 设置 网 络 接 de 队列 2 为 30KB， 队 列 3 为 10KB， 这 时 系统 就 会 


。 与 PQ 相同 ， 会 根据 访问 列表 等 信息 对 分 组 进行 分 
轮 询 (round-robin) 的 方式 进行 分 组 转发 ， 


(Custom 等 到 队列 1 存 满 50KB 的 分 组 后 了 进行 转发 ， 接 着 轮 到 队列 2 存储 到 30KB 的 分 组 后 进行 转发 ， 最 后 轮 到 


> AE 


2 


Weighted 


9 


基于 类 别 
的 加 权 公 
平 队列 ) 


LLQ (Low 
Latency 集合 了 PQ 与 CBWFQ 的 特点 。1 个 网 络 接口 在 配 


(bit/s 
以 流 
ence 


i 队列 3 满 10KB 后 转发 。 随 后 再 次 回 到 队列 1 中 ， 等 待 下 一 批 50KB 的 分 组 存 满 后 ， 再 次 进入 上 述 转发 顺 
定制 队 Ee 
列 ) PQ 机 制 中 ， 有 可 能 会 发 生 优 先 级 低 的 队列 中 的 分 组 永远 无 法 转发 的 情形 ， 这 会 导致 对 应 的 应 
由 而 CQ 则 可 以 避免 这 一 问题 。 在 思科 公司 的 路 由 器 中 ， 每 个 网 络 接口 都 可 以 对 应 生成 16 个 转发 队 
而 
WFQ PQ 和 CQ 属于 管 里 员 设置 的 静态 队列 处 理 机 制 ， WFQ 则 能 够 通过 识别 流 (flow， 发 送 源 、 发 送 目 的 地 
(Weighed on 好 址 和 端口 号 一 致 的 通 这 内 容 组 合 ， 相 当 于 一 个 TCP 连 接 ) ， 在 网 络 发 生 拥 塞 时 自动 生成 队列 。 
Fair 当 FQ (Fair Queuing， 公 平 队列 ) 中 发 生 寺 ， 网 络 接口 上 所 有 的 队列 将 采 同一 大 小 的 带宽 
Queuin 0 比 尺寸 较 小 的 分 组 相对 于 尺寸 交大 的 分 组 更 容易 被 转发 。 而 在 WFQ 中 每 个 队列 人 
加 权 作 时 | 为 单位 ) 都 会 以 其 中 IP 分 组 首部 的 IP Precedence 值 为 基础 ， 分 配 一 个 权重 (weight) 值 。IP Preced 
队列 ) 数值 二 大 ， 权重 值 越 小 ， 意 味 着 可 以 使 用 更 多 的 带宽 资源 。 思 科 公 司 的 路 由 器 中 能 够 使 用 4096 个 这 样 
的 队列 
CBWFQ 
(Class- 


LE 集合 工 GQ 和 WEQ 的 特点 规定 了 每 个 队列 所 需 保障 的 最 低 带宽 。 与 WFQ 的 优先 级 (权重 ) 取决 于 IP 


Fair 部 的 IP Precedence 相 对 应 ，CBWFQ 中 只 需 根据 网 络 协议 和 IP 地 址 就 可 以 指定 优先 级 ， 并 依 ! 
有 优先 级 控制 传输 速率 、 调 整 分 组 废弃 等 待 时 间 。 经 常 使 用 在 了 电话 这 类 对 传输 时 延 和 抖动 比较 敏 
Queuing， | 感 的 应 用 中 。 思 科 公司 的 路 由 器 中 可 以 提供 最 多 64 个 该 类 型 的 队列 


昭 不 


CBWFQ 的 同时 ， 还 准备 了 一 个 用 于 特定 应 用 通 人 


吾 


Queuing， 的 PQ 队列 。 最 优先 的 分 组 在 PQ 队列 中 获得 最 优先 的 处 理 ， 其 余 的 通信 包 则 由 CBWFQ 保 障 一 定 的 带 
低 延 迟 队 ”| 宽 
列 ) 

避免 拥塞 


， 器 每 个 网 络 接口 的 通信 线路 速率 都 是 有 限 的 ， 


二 


当 出 现 了 超过 通信 速率 的 高 通信 量 分 组 时 ， 转 
口 的 网 络 接口 将 会 出 现 拥塞 现象 。 这 时 ， 转 发 出 口 的 缓存 也 和 转发 队列 中 会 堆 满 待 转发 的 分 


组 ， 之 后 进入 缓存 的 分 组 则 被 丢弃 (Tail-Drop， 尾 部 丢弃 ) 。 当 发 生 尾 部 丢弃 后 ， 该 路 由 器 所 经 


链 路 上 的 所 有 TCP 连接 分 组 也 将 被 一 齐 丢 齐 ， 路 1 


器 会 对 大 量 TCP 连接 同时 采取 进入 习 


发 控制 


或 减少 窗口 尺寸 等 一 系列 流量 控制 措施 。 当 拥塞 得 到 缓解 后 ，TCP 连接 会 逐渐 增 大 窗口 


而 再 度 导 致 大 量 数据 的 到 来 而 引发 再 次 拥塞 ， 整 个 


网 络 会 进入 一 个 亚 性 循环 〈 即 TCP 的 全 局 同 


步 现象 ，global TCP synchronization) 的 过 程 ， 使 网 


种 情况 下 ， 使 用 RED (Random Early Detection ， 
> 系列 问题 。 


络 利用 率直 线 下 降 。 
随机 早期 检测 ) 技术 可 以 避免 尾部 丢 


下 寸 ， 从 


弃 所 市 


可 


RED 会 始终 检测 队列 中 数据 量 的 平均 值 《了 
早 丢弃 选中 的 分 组 ( 
同样 将 执行 尾部 丢弃 。 


WRED (Weighted Random Early Detection, 
并 根据 优先 级 的 不 同 动态 设置 RED 的 最 大 和 最 小 病 值 


尽 


另外 ， 
Precedence 的 值 


降低 了 用 户 


决定 优先 级 ， 


向 队列 中 添加 分 组 


均 队列 长 度 ) ， 


加 权 随 机 早期 检测 ) 


当 该 值 超过 设置 的 最 小 病 值 时 ， 将 
图 3-37) 。 平 均 队 列 长 度 越 大 ， 分 组 的 丢弃 率 越 高 ， 当 超过 最 大 立 值 时 ， 


能 够 根据 IP 分 组 


中 IP 


需要 保留 的 分 组 因 拥 塞 被 丢弃 的 概率 。 


计算 平均 队列 长 度 


比 最 大 阅 值 高 


比 最 小 阅 值 低 


介 于 最 大 阅 值 和 
最 小 阅 值 之 间 
计算 分 组 被 
丢弃 的 概率 


图 3-37 RED 处 理 流程 


策略 控制 


。 这 一 机 制 


在 服务 供应 商 对 通信 质量 有 一 定 的 保障 需求 等 情况 下 ， 流 入 路 由 器 的 通信 量 会 遵从 一 定 规则 的 策 
略 (policy) 受到 限制 ， ee (policing) 。 策 略 控制 能 够 指定 路 由 器 的 
输入 与 输出 在 哪个 网 络 接口 上 进行 ， 还 能 够 决定 对 于 超过 网 络 接口 限制 值 的 分 组 是 丢弃 还 是 修改 
IP 分 组 首部 的 ToS 数据 域 。 使 用 了 IOS 的 路 由 器 就 提供 了 称 为 CAR (Committed Access 
Rate， 承 诺 访问 速率 ) 的 策略 控制 功能 。 


实现 并 执行 策略 控制 的 设备 或 功能 实体 也 称 为 策略 执行 者 (policer) 。 

通信 重 整 形 

当 需 要 从 数据 中 心 高 速 线路 网 络 向 分 支 机 构 中 的 低速 线路 网 络 传输 数据 时 ， 数 据 中 心路 由 器 所 转 
发 的 通信 和 量 必须 重新 控 din hm a 只 有 这 样 才 能 保证 分 组 不 会 因 拥 

塞 而 被 丢弃 ， 这 一 控制 过 程 即 为 通信 量 整形 (shaping) 了 量 整 形 和 策略 控制 一 样 ， 根 据 一 定 
的 规则 限制 通信 量 ， 但 是 通信 量 整 形 不 于 弃 超 出 限制 的 分 组 而 是 将 其 放 入 队列 。 

实现 并 执行 通信 量 整形 的 设备 或 功能 实体 也 称 为 通信 量 整形 器 (shaper) 。 


信 令 控制 


RSVP (Resource Reservation Protocol， 资 源 预 留 协 议 ) 协议 是 使 应 用 程序 (或 路 由 器 ) 在 网 络 中 
能 够 使 用 信念 控制 (signaling) 指定 QoS 级 别 的 一 种 实现 方式 。 RSVP 协议 是 可 以 为 每 一 个 数据 
流 指定 独立 的 QoS 需求 的 L3 信 令 协议 。 
03.06.09 ”虚拟 路 由 器 
一 般 而 言 ，1 台 路 由 器 内 部 只 能 生成 一 份 路 由 表 ， 但 带 有 虚拟 路 由 器 功能 的 路 由 器 则 可 以 在 1L 台 
路 由 器 机 体内 模拟 出 多 台 虚 拟 路 由 器 运行 。 虚 拟 路 由 器 经 常 在 服务 供应 商 提 供 VPN 等 业务 时 使 
用 。 例 如 ， 现 在 需要 在 位 于 东京 和 大 阪 的 两 家 公司 之 间 构 建 一 个 使 用 私有 地 址 的 VPN 网 络 。 尽 
管 在 东京 的 A 公司 和 在 大 阪 的 B 公司 中 已 同时 存在 192.168.1.0/24 这 一 子 网 ， 可 以 通过 设置 两 公 
司 的 路 由 器 进行 连接 。 但 是 如 果 东 京 和 大 阪 的 公司 都 只 有 1 台 器 来 汇聚 的 话 ， 设 备 是 无 法 进 
行 正 确 路 由 选择 的 。 当 服务 供应 商 想 要 将 这 种 情况 下 的 多 个 企业 正确 连接 时 ， 就 可 以 使 用 虚拟 路 
器 功能 将 A 公司 的 路 | 言 息 和 B 公司 的 路 由 信息 进行 分 割 。 由 此 ， 不 仅 可 以 减少 实际 需要 管 
理 的 物理 路 由 器 的 数量 ， 还 可 以 有 效 降低 引入 和 使 用 的 成 本 。 
具体 内 容 可 以 参考 05.08 节 的 内 容 。 
03.07 ”用 于 管理 路 由 器 的 各 种 功能 
路 由 器 设备 会 提供 各 种 便于 自身 管理 的 功能 。 
03.07.01 用户 界面 
路 由 器 均 会 提供 便于 管理 人 员 管 理 器 的 UI (User Interface， 用 户 界 面 ) 。 管 理 人 员 可 以 通过 
UI 设置 路 由 器 、 获 取 当 前 路 由 器 信息 以 及 查看 硬件 的 状态 和 通信 量 时 的 如 席 计 信息 等 。 
路 由 器 的 UI 可 以 分 为 WebUI (Web User Interface， 也 称 为 WUI) 和 CLI (Command Line user 
Interface) 两 类 。 
WebUI 通过 个 人 计算 机 的 Web 浏览 器 进行 访问 ， 因 其 能 够 提供 可 视 化 的 设 剖 与 管理 所 以 也 可 
以 称 为 GUI (Graphical User Interface) 。 路 由 器 软件 内 置 了 Web 服务器， 管理 人 员 通 过 个 人 计 
算 机 的 HTTP 或 HTTPS 协议 就 可 以 访问 。 
CLI 也 称 为 CUI (Character User Interface) ， 管 理 人 员 通 过 使 用 终端 软 伯 访 问 路 器 。 终 端 软件 
可 以 是 Windows 系统 自 0 也 可 以 是 免费 软件 TeraTerm 等 等 。 通 过 CLI 访问 需 
要 在 路 由 器 上 配备 控制 端口 (RJ-45 或 DB-9， 早 期 路 由 器 可 能 配备 的 是 DB-25) 。 控 制 端口 与 个 
人 计算 机 之 间 的 连接 可 以 分 为 两 类 ， 一 类 是 直接 采 Ee 竺 路 器 与 管理 员 的 个 人 计算 机 相连 ， 
另 类 是 通过 网 络 全 Telnet (TCP 23 号 端口 ) 或 SSH (TCP 22 号 端口 ) 协议 进行 虚拟 终端 
(VTY) 连接 ( 表 3-31) 。 
表 3-31 路 由 器 用 户 界 面 的 连接 方式 与 种 类 
连接 的 种 类 连接 的 方式 加 密 

控制 口 连接 CLI 不 加 密 

Telnet 连 接 CLI (VTY) ~ 加密 

SSH 连 接 CLI (VTY) 加 密 

HTTP 连 接 WebUI 加密 


连接 的 种 类 


连接 的 方式 


加 密 


HTTPS 连 接 


WebUI 


87654321 


RJ-45 模 块 化 接口 


图 3-38 ”RJ-45 端口 


RJ-45 8P8C 插 口 ( 接头 ) 


图 3-39 ”RJ-45/DB-9 转换 线 缆 (用 于 将 路 由 器 上 的 RJ-45 控制 端口 连接 到 PC) 
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外 ， 路 


器 还 提供 了 外 


GCC 


供 的 访问 控制 列表 ， 


Eu 


只 接受 指 
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后 ， 
Di 


能 
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js 
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用 
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人 
还 需要 提供 管理 员 昌 
前 过 RADIUS 和 LDA 
里 员 账 户 相 关 权 限 的 


够 访问 路 由 器 的 UI 意 


管理 人 员 的 访问 


(Eay 


EE 名 
、 于 


办 议 从 


户 名 和 密码 才能 登录 
外 部 数据 库 获 得 。 男 外 ， 路 


包括 root 


定 耳 地 址 作为 发 送 源 的 客户 端 进行 连接 。; 


够 对 访问 UI 的 个 人 计算 机 进行 限制 的 功能 。 该 功能 通过 设置 管理 人 员 


权限 、 读 取 专 用 权限 、 只 能 设置 


] 以 确认 或 更 改 路 由 器 的 相关 设置 ， 


外 ， 如 果 需 要 通过 互联 网 等 


这 一 点 尤其 


EE 要 。 


WebUI 
始 设置 


的 HTTPS 或 CLI 


他 异种 网 


因此 从 安全 的 


I 络 访 问 路 由 器 时 ， 为 了 防止 设置 信息 等 被 鳃 听 ， 建 议 使 
的 SSH 等 支持 加 密 的 协议 进行 访问 。 


。 这 些 认证 信息 既 可 以 保存 在 路 由 器 内 部 ， 也 可 
由 器 可 能 还 会 提供 能 够 指定 
R 某 些 功能 等 多 项 权限 。 


度 来 讲 ， 茜 止 


而 言 ， 在 出 三 时 已 经 对 其 


按 


ee 
己 


理 员 用 户 名 和 密码 等 也 在 出 


录 。 


03.07.02 日 志 


如 


在 路 


器 


事先 设 定 的 地 址 ， 即 可 完成 对 UI 的 访问 。 
| 时 做 了 默认 设置 ， 在 初始 设置 时 只 需 通 过 该 默认 


接 入 网 络 后 ， 


ll 
cE 下 


有 控制 端口 的 路 由 器 ， 一 般 都 是 通过 控制 端口 来 完成 初始 设置 的 。 对 于 宽带 路 由 器 这 类 小 型 路 
网 络 接口 完成 了 特定 地 址 的 分 配 工作 。 当 用 户 


只 需 连 


即 可 完成 登 


上 更 改 设置 或 发 4 


肖 ， 路 


器 内 部 的 日 志 就 会 将 这 些 事件 


记录 下 来 。 


异 
录 一 行 并 根据 事件 的 重要 程度 分 类 


， 而 且 


也 可 以 只 记录 下 最 重要 的 事件 。 


一 般 的 路 由 器 中 并 没有 太 多 保存 日 志 的 空间 ， 通 常 都 是 将 日 志 传 送 到 Syslog 服务 器 上 保存 。 
03.07.03 ”确认 CPU 使 用 率 


通过 WebUI、CLI 命令 行 或 SNMP 等 能 够 获取 CPU 的 使 用 信息 。 其 中 CPU 的 使 用 率 一 般 表示 为 
0~100% 。 


/| 


We 器 的 硬件 设 可 以 通过 设置 使 CPU 使 用 率 在 超过 阔 值 时 通过 SNMP trap 发 送 消息 或 输 
CPU 使 用 率 上 升 的 主要 原因 
下 面 列 出 了 几 个 路 由 器 CPU 使 用 率 上 升 的 主要 原因 。 

。 用 户 通信 量 处 理 增多 。 


”出 现 突 发 通信 量 


= 用量 (sizing， 即 关于 路 由 器 能 够 处 理 的 带宽 和 用 户 数量 等 规模 的 预 估 设 计 ) 不 合适 ， 
设备 处 理应 接 不 暇 。 


当 CPU 的 使 用 率 很 高 时 ， 会 引起 以 下 问题 。 


池 
是 
芍 


"性 能 下 降 ， 使 通过 该 设备 的 用 户 数据 响应 迟缓 。 


" 设备 上 运行 的 业务 无 法 正常 响应 ， 进 而 会 导致 以 下 问题 。 


。 Telnet/SSH 响应 迟缓 ， 或 设备 无 法 进行 Telnet/SSH 连接 。 
。 控 制 端口 响应 迟钝 


。 设备 上 的 网 络 接口 对 ping 命令 的 应 答 迟 组 甚至 无 应 答 。 


l 


。 无 法 进行 更 新 路 由 等 管理 类 的 通信 交互 。 
a 缓存 发 生 故 障 的 概率 高 
03.07.04 ”告警 


路 由 器 为 了 预防 各 类 故障 ， 还 配备 了 以 下 告警 (alarm) 功能 。 


温度 告警 
配备 了 温度 传感器 的 路 由 器 ， 当 路 由 器 内 部 温度 超过 阔 值 时 ， 会 通过 Syslog 或 SNMP Trap 对 外 
告知 该 异常 信息 。 立 值 分 为 两 个 层级 ， 当 温度 超过 第 一 层级 阐 值 时 ， 设 备 会 发 出 警告 

(warning) 消息 ， 当 超过 第 二 层级 阔 值 时 ， 则 会 发 出 紧急 (critical) 消息 。 路 由 器 内 部 的 热量 一 
般 源 自 CPU， 当 风扇 发 生 故障 无 法 散热 ， 或 外 部 (机 架 内 ) 温度 陡然 升 高 时 ， 就 有 可 能 超过 预 
先 设 置 的 温度 阔 值 。 


风扇 告警 


搭载 风扇 的 路 由 器 大 多 会 计算 风扇 的 转速 ， 当 出 现 正常 范围 以 外 的 转速 时 ， 将 会 通过 Syslog 或 
SNMP Trap 对 外 告知 异常 。 


电源 告警 


图 电源 结构 单元 的 路 由 器 ， 当 单独 电源 发 生 供电 故障 时 ， 会 通过 Syslog 或 SNMP Trap 对 
告知 异常 。 


03.07.05 “设置 时 间 


如 果 设 备 没 有 设置 正确 的 时 间 ， 那 么 就 会 发 生日 志 记录 的 时 刻 与 实际 相左 的 情况 。 在 可 以 设置 时 
区 的 设备 中 ， 本 地 时 间 选 择 本 国 时 间 即 可 。 而 那些 在 世界 各 地 均 有 办 公 场所 的 跨国 企业 ， 为 了 对 
志 进 行 统 一 监控 ， 则 需要 将 所 有 路 由 器 的 时 间 均 设置 成 格林 尼 治 标准 时 间 (GMT) 。 

路 由 器 的 时 钟 信息 虽然 可 以 通过 手动 设置 ， 但 在 现 网 中 ， 路 由 器 之 间 往 往 会 有 日 志 通 信 等 依赖 时 
闻 的 通信 交互 ， 因 此 要 求 某 台 路 由 器 中 的 时 间 必 须 与 其 他 路 由 器 保持 绝对 一 致 〈 同 步 ) ， 这 时 路 
器 就 需要 使 用 NTP 来 完成 时 钟 同步 。 


表 3-32 日 本 主要 的 NTP 服务 器 


| 6 中 国 国内 可 以 使 用 由 部 分 高 校 提供 的 NTP 服务 器 。 一 一 译 者 注 
服务 供应 方 主要 主机 名 层级 (Stratum) 
Internet Multi-Field ntp.jst.mfeed.ad.jp 2 
NICT (日 本 信息 通信 研究 机 构 ) ntp.nict.jp 1 
Ring Server Project ntp.ring.gr.jp 2~4 
e-timing (AMANO Business Solutions) ats1.e-timing.ne.jp 1 


在 NTP 服务 器 的 层级 构造 中 ， 获 得 正确 的 时 间 信 息 源 并 与 之 同步 运行 的 最 上 层 称 为 Stratum 1。 
Stratum 2 的 NTP 服务 器 通过 NTP 协议 从 Stratum 1 的 NTP 服务 器 获得 时 间 信 息 。 以 此 类 推 ， 
Stratum 3 的 服务 器 从 Stratum 2 处 获得 时 间 信息 。Stratum 层级 最 高 可 达 15 层 。 


03.07.06 ”故障 排查 

当 路 由 器 未 按 设 想 情 况 运行 和 时， 为 了 找 出 原因 就 需要 进行 故障 排查 (trouble shooting) 。 

设置 失误 而 引起 错误 提示 或 者 进行 了 正确 设置 但 WebUI 上 却 没 有 出 现 提示 正确 的 信息 等 都 是 
显而易见 的 错误 ， 也 能 够 立刻 定位 故障 的 原因 。 但 如 果 是 正确 设置 却 仍然 出 现 bug 或 者 在 连接 其 
他 厂商 的 设备 时 出 现 问 题 等 情况 ， 故 障 原因 则 无 法 简单 地 定位 。 为 了 应 对 这 些 情况 ， 大 多 数 路 由 
器 都 配备 了 调 | 试 具 。 路 由 器 的 调试 功能 在 一 般 情况 下 不 会 生效 ， 但 当 针 对 某 项 单独 功能 时 即 可 
生效 。 当 该 功能 执行 时 ， 调 斌 功能 会 追踪 处 理 流程 、 给 出 该 功能 运行 芭 功 或 天 败 的 提示 信息 恩 ， 如 
果 运行 失败 还 会 记录 失败 的 细 原 因 ， 因 此 能 够 有 效 地 帮助 用 户 判断 设置 是 否 有 误 等 。 

诊断 工具 (Diagnostic/Debug 命令 ) 


大 多 数 路 由 器 会 配备 诊断 与 调试 命令 。 故 障 发 生 时 ， 用 户 可 以 通过 这 些 命令 获取 路 由 器 内 部 程序 
运行 的 步 又 ， 以 及 到 底 是 哪个 处 理 引 发 了 错误 等 信息 。 


分 组 捕获 

为 了 确定 某 些 特定 的 分 组 在 通过 路 由 器 时 是 否 会 因为 路 由 器 的 设置 、 访 问 列 表 、bug 等 原因 被 丢 
弃 ， 部 分 路 由 器 产品 还 提供 了 分 组 捕获 (Packet Capture) 功能 ， 该 功能 也 称 为 PCAP。 捕 获 文件 
在 Windows PC 上 也 可 以 通过 Wireshark (以 前 称 为 Ethereal) 的 应 用 软件 来 查阅 。 


吐 核 


三 


当 路 由 器 的 软件 程序 因 不 正 当 的 内 存 访问 、 缓 存 洪 出 、 零 指针 错误 等 原因 导致 异常 中 止 时 ， 会 生 
成 名 为 core dump 的 文件 ， 文 件 2 止 时 寄存 器 以 及 内 存 的 有 关内 容 。 恨 岳 这 让 内 容 
能 够 定位 程序 的 bug 并 及 时 修正 。 DCE ep a 
为 “ 叶 核 ”。 获 取 co dump 文件 的 方法 根据 实现 方式 的 不 同 丽 有 所 差异 得 文件 生成 后 必须 交 给 

厂商 ， 让 厂商 进行 进一步 的 解析 。 


03.07.07 ”文件 传输 控制 
当 需要 将 路 由 器 上 运行 的 操作 系统 文件 、 设 置 文件 、 志文 件 等 传输 到 个 人 计算 机 时 ， 或 从 


Re 器 时 ， 可 以 使 用 TFTP、FTP、SCP、SFTP 等 文件 传输 协议 。 以 WebUI 为 
主 的 路 由 器 还 可 以 使 用 HTTP 和 HTTPS 协议 。 


03.07.08 ”其 他 工具 包 
有 些 路 由 器 还 可 以 使 用 表 3-33 中 列 出 的 UNIX 通用 的 工具 包 软 件 。 
表 3-33 可 以 在 路 由 器 中 使 用 的 主要 工具 软件 包 


上 


名 称 说 明 


ping 使 用 ICMP 中 的 echo request 确 认 目 的 地 主机 是 否 联通 


Traceroute | 使 用 ICMP 协 议 收 集 发 送 源 到 目的 地 的 路 由 信息 


telnet TCP 端 口号 为 23， 从 路 由 器 的 CLI 界 面 访 问 网 络 中 其 他 路 由 器 的 控制 台 或 CLI 界 面 


号 为 22， 从 路 由 器 的 CLI 界 面 连接 并 访问 网 络 中 其 他 路 由 器 的 控制 台 或 CLI 界 面 ， 整 个 链 路 保 
等 4 态 


ssh 


rlogin TCP 端 口号 为 513， 从 路 由 器 的 CLI 界 面 通 过 网 络 登陆 到 远程 服务 器 上 


ftp RFC959 定 义 ， 与 外 部 tftp 服 务 器 之 间 通 过 FTP 完 成 文件 或 路 由 器 设置 信息 的 导入 或 导出 


tftp RFC1350 定 义 的 简易 FTP， 与 外 部 tftp 服 务 器 之 间 完 成 文件 或 路 由 器 设置 信息 的 导入 或 导出 


03.08 ”路 由 器 的 架构 


以 个 人 计算 机 为 代表 ， 计 算 机 一 般 由 控制 装置 (CPU) 、 主 存储 器 (内存) 和 辅助 存储 器 
(HDD) 、 运 算 装置 (CPU) 、 输 入 设备 (键盘 或 鼠标 ) 、 输 出 设备 (显示 器 ) 五 大 部 分 组 成 。 
而 物理 路 由 器 的 构造 与 个 人 计算 机 的 构造 类 似 ( 表 3-34) 。 


表 3-34 ”比较 个 人 计算 机 与 路 由 器 的 构成 要 素 


个 人 计算 机 路 由 器 
控制 、 运 算 |CPU CPU、 专 用 芯片 注 1 
存储 内 存 、HDD、SD 卡 等 内 存 、HDD 注 1 
和 站 通过 控制 台 或 以 太 网 访问 CLI 以 及 WebUI 


注 1: 只 有 一 部 分 产品 配 有 该 要 素 。 


03.08.01 路 由 器 的 构成 要 素 
接 下 来 让 我 们 进一步 


CPU 


一 下 表 3-34 列 出 的 路 


通常 使 用 贬 入 式 设备 和 通信 


| 如，Juniper 公司 的 高 端 路 | 


用 MIPS s 的 R5000/RM7000 系列 等 。 除 
专用 的 处 理 器 以 及 服务 器 专 


器 使 用 Intel 公司 的 奔腾 
了 这 些 以 外 ， 还 有 Intel 和 


AMD 公信 了， 


用 的 处 理 器 ， 还 有 IBM 和 摩 
Broadcom 公司 的 通信 i 


与 个 人 计算 机 的 


In 
ey 


货 的 CPU 产品 ， 这 一 点 也 适用 


路 器 产品 的 其 


一 般 一 台 路 由 器 只 配备 1 
外 的 CPU， 因 出 


一 般 来 说 ，CPU 运 


F 发 的 Bavarpl >、 Cavium Networks 公司 和 
处 克 中 可 供 选择 。 


块 CPU 。 但 是 部 分 高 端 路 


模块 中 同样 会 搭载 额 


性 能 的 需求 要 低 于 个 人 计算 


机 和 服务 器 ， 于 


{ 
es Ee Cr 2 


例如 ， 低 端 路 


当前 寅 的 个 人 计算 机 CPU 的 频率 。 


频率 为 50~180MHz， 


器 CPU 频率 在 


100~350MHz 人 


码 与 硬件 必 片 
存储 器 


存储 器 大 致 分 为 只 读 存储 器 ROM Only Memory 
Memory) 两 大 类 。ROM 在 
据 。 而 RAM ee 


的 PowerPC er 


而 高 端 路 由 器 CRS-1 使 


频 为 1.2GHz 。 


虽然 在 CPU i 
文 会 提 到 ) 协同 了 


竺 硬件 省 大 待定 的 


且 也 有 部 分 路 由 器 使 代 


Ho 


[存储 器 RAM (Random Access 


We 


NVRAM 和 闪存 。 


各 作 系统 和 设置 信息 保存 在 


NVRAM 和 闪存 
表 3-35 路 由 器 使 用 的 内 存 种 类 


合 了 二 者 特点 的 是 


Access 
Memory) 


内 存 种 类 在 路 由 器 内 部 的 用 途 
ROM 
(Read Only MiniIlOS ~、 POST 、Bootstrap 
Memory) 
RAM 
(Random 启动 中 的 操作 系统 、 程 序 、 路 


表 、 缓 存 、Running-config 


NVRAM 


RAM) 


源 ， a a 在 集成 


(Non Volatile 置 了 Startup-config、Config-register 


闪存 


EEPROM 的 一 ,通过 施加 


、 | 1os (操作 系统 ) 镜像 注 1 


注 1: 镜像 是 以 文件 


了 式 保存 软件 的 一 种 方式 。 


操作 系统 、 固 件 


个 人 计算 机 以 及 服务 器 通过 运行 Windows、MacOS、Linux 等 操作 系统 提供 应 用 程序 软 
件 的 各 种 基本 功能 比如 控制 键盘 输入 或 显示 输出 、 进行 磁盘 及 内 存 管理 等 牛 路 由 器 设 
上 也 搭载 了 专用 的 操作 系统 
路 由 器 使 用 的 操作 系统 可 以 是 同属 UNIX 系列 的 FreeBSD， 也 可 以 是 个 厂商 基于 其 他 实时 操作 系 
统 二 次 开发 的 操作 系统 。 与 个 人 计算 机 上 运行 的 操作 系统 提供 了 各 类 应 用 软件 不 同 ， 该 专用 操作 
系统 中 仅 包含 路 由 器 必 备 的 相关 软件 。 该 操作 系统 也 是 以 镜像 或 镜像 文件 作为 载体 存在 的 ， 大 小 
从 几 MB 到 几 百 MB 不 等 。 后 文 会 详细 介绍 路 由 器 加 载 并 读 取 操 作 系统 镜像 的 步 又。 
类 似 思 科 公 司 的 IOS 和 IOS XR、Juniper 公司 的 JUNOS 这 样 带 有 名 称 (OS) 的 操作 系统 ， 有 时 
可 以 简单 称 为 “XX (产品 名 ) 专用 固件 (firmware) ” 
路 由 器 的 操作 系统 分 为 IOS 这 eas kt 为 存 空 间 的 单 体式 (monolithic) 操作 系统 
和 JUNOS、IOS XR 这 种 每 个 进程 均 有 专用 内 存 空 间 的 模块 式 (modular) 操作 系统 。 高 端 路 
器 一 般 采 用 模块 性 操作 系统 架构 ， 这 样 即使 某 个 进程 异常 这 出 ， 也 不 会 影响 其 他 进程 ， 使 操作 系 
统 拥有 更 高 的 可 靠 性 和 可 用 性 。 
操作 系统 的 版 本 
路 由 器 的 操作 系统 一 般 会 定期 发 布 新 版 本 。 虽 然 各 厂商 的 发 布 时 间 不 同 ， 但 搭载 新 功能 的 主 版 本 
(或 副 版 本 ) 一 般 半 年 或 者 一 年 发 布 一 次 。 若 在 主 版 本 或 副 版 本 中 发 现 了 bug， 则 会 每 月 发 布 
个 对 应 的 修正 版 本 (bug batch 版 ) 。 
新 版 本 中 的 必 选 功能 和 修正 的 bug 数 越 多 ， 版 本 的 质量 也 就 越 高 。 但 有 了 时 伴随 着 新 功 和 的 增加 和 
bug 的 修正 也 会 引入 新 的 bug 导致 退化 (degrade) ， 因 此 在 升级 版 本 前 ， 最 好 测试 一 下 必 选 功能 
是 否 能 够 正常 运行 
" IOS 版 本 范例 
小 数 点 前 后 的 两 位 数字 表示 主 发 布 (major release) 编号 〈 即 主 版 本 ) ， 该 数值 越 大 表示 该 
版 本 支持 的 功能 就 越 丰富 。 在 每 个 主 发 布 编号 后 面 的 括号 中 记录 了 维护 发 布 编号 ， 该 数值 越 
大 表示 改正 的 bug 数量 越 多 ， 因 此 最 好 选择 数值 较 大 的 版 本 。 最 后 的 重建 识别 符 使 用 字母 或 
数字 表示 ， 表 示 对 某 些 不 健壮 以 及 重大 问题 的 修正 次 数 。 


12.2(13e) 


了 


维护 二 lm 


12.3(2)T5 


主 发 布 编号 维护 发 布 测试 版 本 全 重建 识别 符 


图 3-40 IOS 的 版 本 形式 


a JUNOS 版 本 范例 


编号 


标识 符 


JUNOS 版 本 号 最 开始 的 数字 称 为 主 发 布 编号 ， 小 数 点 之 后 的 数字 称 为 副 发 布 编号 (minor 

release) ， 这 两 个 数字 合 在 一 起 表示 主 版 本 号 。 紧 随 其 后 的 字母 表示 发 布 类 型 ，R 为 标准 

. B 为 beta 版 ， es 后面 的 构建 编号 与 最 后 的 附带 编号 共同 表示 维护 发 布 编 
， 也 称 为 修订 (revision) 版 本 号 (图 3-41) 。 


11.2R3.3 


个 
1 1 本 和 
主 发 布 编号 标准 版 
副 发 布 编号 
es 
主 版 本 号 修订 版 本 号 
图 3-41 JUNOS 的 版 本 形式 
网 络 接口 


路 由 器 存在 多 个 用 于 物理 线 缆 连 接 的 接口 ( 称 为 物理 接口 或 物理 端 
息 可 以 参考 本 书 第 1 章 。 


+} 应 了 不 同 数据 链 路 层 协议 的 网 络 接口 种 类 如 表 3-36 所 示 。 
表 3-36 路 由 器 的 数据 链 路 手段 


。 关 于 物理 接口 的 详细 信 


下 
品 


部 


数据 链 路 手段 说 明 主要 速度 接口 形状 


OC-192c/STM-64c 
POS 
OC-48c/STM-16c 
POS 传输 SONET/SDH 数 据 帧 。 可 用 于 高 速 | POS 光纤 (SC、LC、FC、 
(Packet over SONET/SDH) | WAN 中 。 使 用 SFP 等 光 接 OC-12c/STM-4c MTRJ 等 ) 
POS 
OC-3c/STM-1c 
POS 


OC-192c/STM-64c 


DPT DPT 
(Dynamic Packet IEEE 802.17 定 义 的 环形 拓扑 光 网 |OC-48c/STM-16c | 光纤 (SC、LC、FC、 
Transport/Resilient Packet 络 。 一 般 使 用 SFP 等 光 # DPT MTRJ 等 ) 
Ring) OC-12C/STM-4c 
DPT 


ATM OC-12c/STM-4c 


1 ATM 论 坛 制定 规格 ， 进 行 ATM 信 元 | ATM 光纤 (SC、LC、FC、 
Me rns Transfer (cell) 数据 帧 的 传输 OC-30STM-1c MTRJ 等 ) 
ATM 
OC-48c/STM-16c 
POS 
| 2e/SmM Ae 光纤 (SC、LC、FC、 
Cherm ti T3、E3 等 复 用 pOS MTRJ 等 ) 
OC-3c/STM™-1c RJ-48 
POS 


ISDN PRI 


数据 链 路 手段 说 明 主要 速度 接口 形状 
ee (10BASE- LAN 线 缆 
Fast Ethernet (RJ-45) 
Y A Wg 
et IEEE 802.3 定 义 ， 传 输 以 太 网 数据 (10/100 BASE- 光纤 
叶 TX) (GBIC 、 SFP、 
tg XENPAK ~、 XFP 、 
Gigabit Ethernet SFP+) 
10-Gigabit Ethernet 
ISDN BRI ITU-TI430 的 ISDN BRI (基本 接口 ) |ISPN BRI LAN 线 缆 (RJ-45) 
(64kbit/s) 


在 高 端 路 由 器 中 ， 路 由 器 的 一 部 分 功能 并 不 是 使 用 软件 进行 CPU 处 理 ， 而 是 使 用 硬件 芯片 进行 
高 速 处 理 来 实现 。 


" ASIC 


ASIC 是 专用 集成 电路 (Application Specific Integrated Circuit) 的 简称 ， 属 于 LSI (大 规模 集 
成 电路 ) 的 一 种 ， 是 专门 为 特定 厂商 的 产品 或 某 项 用 途 而 开发 的 必 片 。 路 由 器 厂商 也 可 能 会 
参与 自 定 义 ASIC 芯片 的 设计 工作 。 用 于 网 络 的 ASIC 忌 片 提供 了 以 太 网 MAC 层 处 理 和 IP 
分 组 转发 处 理 等 功能 。 


" FPGA 


FPGA 是 现场 可 编程 门 阵列 (Field-Programmable Gate Array) 的 简称 ， 是 与 ASIC 类 似 的 集 
成 电路 。 搭 载 了 集成 电路 的 路 由 器 在 成 品 后 ， 路 由 器 厂商 依然 可 以 对 其 进行 编程 操作 。 
FPGA 进行 的 处 理 一 般 通 过 硬件 描述 语言 (HDL，Hardware Description Language) 来 定义 。 
FPGA 不 仅 能 够 实现 和 ASIC 同样 的 功能 ， 还 能 帮 成 品 后 继续 更 新 功能 、 进 行 再 编程 等 操 
作 ， 因 此 可 以 轻易 添加 新 功能 并 懈 复 有 问题 的 部 分 。 Xilinx 公司 和 Altera 公司 都 是 知名 的 


FPGA 厂商。 
" 安全 加 速 器 


安全 加 速 器 (security accelerator) 也 称 为 VPN 加 速 器 ， 是 为 了 高 速 处 理 SSL、IPSec 等 加 密 
处 理 通 信 而 搭载 加密、 解密 等 专用 芯片 的 模块 。 该 模块 有 时 也 单独 作为 可 选 模 块 卡 供用 户 
使 用 。 

电源 


同 交 换 机 类 似 ， 路 由 器 设备 一 般 也 会 配备 电源 模块 ， 详 
03.08.02 ”启动 路 由 器 的 流程 


路 由 器 从 通电 后 到 开始 使 用 之 前 ， 会 按照 以 下 步 又 启动。 虽然 这 些 步 又 是 以 思科 路 由 器 为 例 进行 
说 明 的 ， 但 执行 POST、 执 行 bootstrap、 载 入 操作 系统 与 设置 这 个 步骤 对 所 有 路 由 器 都 适用 。 


1. 通电 后 会 执行 保存 在 ROM 中 的 POST (Power On Self Test， 上 电 自 检 ) 程序 。 该 步骤 主要 识 
别 物理 接口 等 设备 上 的 部 件 ， 完 成 对 硬件 的 检测 (图 3-43 的 @D)) 。 


2. 当 POST 执行 完毕 后 ， 执 行 在 ROM 中 保存 的 bootstrap 程序 。 参 考 配 置 寄存 器 (configuration 
register) 的 值 检 索 启动 的 IOS， 默 认 加 载 位 于 闪存 中 的 操作 系统 镜像 (图 3-42 的 ~@) 。 


3. 检索 闪存 内 的 IOS 镜像 ， 并 将 其 加 载 到 RAM 中 。 (图 3-42 的 @)) 


NS 


内 容 可 以 参照 01.04 节 的 内 容 。 


4. IOS 启动 后 在 NVRAM 中 检索 startup-config 信息 ， 如 果 存 在 该 文件 则 将 以 running-config 的 形 
式 在 RAM 中 展开 。 当 设备 刚 出 三 ， 在 NVRAM 中 不 存在 startup-config 时 ， 则 通过 setup mode 
方式 启动 。 (图 3-42 的 @@) 


闪存 


5) 读 取 IOS 并 启动 


1 执行 POST， 检 测 硬件 
3) 启动 bootstrap ( 将 该 程序 从 
ROM 展 开 到 RAM 中 ) 


bootstrap 


3) 根据 配置 寄存 器 的 值 决 定 启 
动 模式 

引 根据 startup-config 的 boot 

system 一 行 的 信息 启动 IOS 


NVRAM 


startup—config 


6) 从 NVRAM 中 完整 读 入 startup-config 信 
息 ( 在 RAM 中 称 为 running-config ) 


图 3-42 路 由 器 的 启动 流程 


03.08.03 ”路 由 器 的 一 般 架 构 
共享 总 线 型 (中央 处 理 器 ) 


桌面 式 路 由 器 和 低 端 路 由 器 一 般 采 用 共享 总 线 型 架构 。 该 架构 比较 古老 ， 实 现 方式 简单 ， 但 由 于 
规模 越 大 就 越 要 配备 与 之 对 应 的 高 速 内 存 管理 系统 ， 因 此 不 适用 于 大 型 路 由 器 。 


共享 总 线 和 共享 内 存 的 架构 方式 ， 其 性 能 与 总 线 的 交换 容量 (带宽 ) 有 着 密切 的 关系 (图 3- 

43) 。 另 外 ， 这 种 架构 既 可 以 所 有 的 网 络 接口 共享 1 根 总 线 ， 也 可 以 几 个 网 络 接口 共享 一 根 总 

线 。 例 如 ， 有 台 设 备 带 有 1 号 至 8 号 共 8 个 10/100/1000BASE-T 网 络 接口 ， 从 1 号 接口 到 4 号 接 

有 1 根 容量 为 500Mbit/s 的 共享 总 线 ， 同 样 5 号 接口 至 8 号 接口 也 有 1 根 500Mbit/s 的 共享 总 

线 ， 这 时 1 号 接口 可 以 单独 使 用 所 有 500Mbits 的 带宽 进行 通信 ， 或 者 1 号 与 5 号 接口 

享 整个 设备 的 总 线 带 宽 ， 使 路 由 器 的 对 外 吞吐 量 达到 1Gbit/s 。 
通 


尽管 硬件 对 外 的 最 快 通信 速度 也 依赖 于 CPU 每 秒 能 够 处 理 的 分 组 数量 (packet per second) ， 但 
即使 未 达到 CPU 处 理 上 限 ， 共 享 总 线 型 设备 的 交换 容量 也 只 能 达到 规定 的 吞吐 量 上 限 。 


共享 总 线 


H+ 


CPU 内 存 
( 路 由 表 ) 


图 3-43 ”共享 总 线 型 路 由 器 的 结构 


低 端 路 由 器 


图 3-44 展示 了 思科 公司 低 端 路 由 器 Cisco 1600 系列 的 结构 图 ， 该 系列 路 由 器 属于 共享 总 线 型 架 


构 。 


Motorola 
M68360 处 理 器 
(CPU ) 


控制 端口 [ 
审 口 、 
ISDN 接口 


外 部 AC 
电源 适配器 


以 太 网 接口 板 


Cisco 1600 路 由 器 


DRAM SIMM 
载 DRAM 


NVRAM: Non-Volatile Random-Access Memory 


PCMCIA，Flash 存 储 卡 


DRAM., Dynamic Random Access Memory 
SIMM: Single In-Line Memory Module 


图 3-44” 低 端 路 由 器 (Cisco 1600) 的 架构 
大 多 数 小 型 路 由 器 均 采 用 外 部 AC 电源 供电 运行 。 


机 框 上 配备 了 以 太 网 接口 、 串 口 、ISDN 的 BRI 端口 


(WAN Interface Card，WAN 接口 卡 ) 模 上 ， 该 接口 
接口 ， 各 个 接口 通过 1O 总 线 (Input/Output 总 线 ) 连接 CPU 。 


。WAN 系列 的 接口 卡 可 以 安装 在 WIC 
卡 上 配备 了 串口 、T1、ISDN 端口 和 以 太 网 


CPU (处 理 器 ) 读 取 操作 系统 内 定义 的 指令 并 执行 。CPU 的 性 能 会 根据 总 线 速度 的 变化 而 变 


化 。CPU 和 内 存 之 间 通 过 CPU 总 线 连 接 。 


DRAM SIMM ( 主 进程 内 存 ) 


Cisco 1600 系 列 的 内 存 


启动 ROM 


路 由 表 队列 


ROMMON、 RxBoot 


路 径 缓 存 缓存 首部 


板 载 DRAM ( 共享 输入 输出 内 存 ) 


接口 缓存 接收 缓存 


PCMCIA 
1I0S 镜 像 


NVRAM 
startup-config 


图 3-45 ”Cisco 1600 系列 的 内 存 


图 3-45 记录 了 小 型 路 由 器 的 内 存 分 配 结构 。DRAM 内 存在 逻辑 上 分 为 包含 路 由 表 的 主 进程 内 


存 ， 和 包含 分 组 、 接 口 绥 存 的 1O 内 存 两 个 区 域 。 


中 端 路 由 器 


在 PCMICA 闪存 卡 上 存放 了 操作 系统 (Cisco IOS) 的 软件 镜像 。 


图 3-46 展示 了 中 端 路 由 器 架构 的 代表 
架构 ， 除 了 固定 的 端口 以 外 还 可 以 连接 接 


| 
| 接口 模 块 | 
GT64010 


系统 控制 器 


Cisco 3600 路 由 器 


闪存 
寄存 器 FPGA Dual UART 


通用 异步 收发 传输 器 : Universal Asynchronous Receiver/Transmitter 。 控制 端口 AUX 端 口 
识别 可 编程 只 读 存储 器 : Identification Programmable Read Only Memory 


图 3-46 ”中 端 路 由 器 (Cisco 3600) 的 架构 
中 高 端 路 由 器 


图 3-47 展示 了 中 高 端 路 由 器 的 架构 图 。 这 种 级 别 的 路 由 器 拥有 电源 模块 见 余 、 独 立 路 


3600 系列 的 结构 图 。 该 系列 同样 使 用 共享 总 线 型 


1 引擎 、 


能 够 替换 的 风扇 托盘 、 多 个 接口 模块 或 线 卡 插 槽 以 及 在 接口 卡 模块 之 间 进 行 通信 的 背 板 。 


PCI 总 线 1 


电源 模块 lL 


IO 控制 器 


| | L2 缓 存 
启动 风 丰 
| | | | midplane 网 络 处 理 器 引擎 ( NPE ) 


控制 AUX 
端口 端口 


图 3-47 Cisco 7200VXR 系列 的 架构 
共享 总 线 型 (分布 式 处 理 器 ， 分 布 式 架构 ) 


分 布 式 处 理 器 是 指 通 过 在 网 络 接口 的 线 卡 上 搭载 CPU， 使 线 卡 内 部 的 数据 传输 不 依靠 
器 也 能 进行 的 架构 模型 (图 3-48) 。 


量 。 


! 央 处 理 


早期 的 机 框 式 高 端 路 由 器 或 模块 型 中 端 路 由 器 产品 均 采 用 该 
染 构 。 在 该 染 构 中 同样 使 共享 总 线 连接 处 于 控制 部 分 的 CPU， 最 大 传输 速度 依赖 于 总 


引线 的 容 


CPU 内 存 
( 路 由 表 ) 


图 3-48 分 布 式 处 理 器 的 结构 
纵横 通路 方式 


使 用 共享 总 线 型 架构 ， 分 组 的 传输 性 能 会 受到 总 线 带 宽 的 限制 。 因 此 对 传输 速度 有 着 很 高 要 求 的 
[ol ii 交换 结构 (switch fabric) 的 传输 线路 取代 共享 总 线 ， 来 提高 系统 整体 的 传 
俞 性 能 。 


在 箱 式 路 由 器 中 ， 端 口 (接口 ) 之 间 的 数据 传输 是 通过 交换 结构 实现 的 。 

在 机 框 式 路 由 器 中 ， 搭 载 了 传输 引擎 (CPU) 和 内 存 的 线 卡 之 间 的 数据 传输 ， 同 样 也 是 经 由 交换 
结构 来 实现 的 。 多 数 机 框 式 路 由 器 或 交换 机 都 使 用 纵横 交换 方式 的 交 所 结构 守成 数据 伟 队 天 
此 这 样 的 架构 形式 也 称 为 纵横 通路 (crossbar) 方式 。 (图 3-49) 


交换 结构 直接 使 用 半导体 芯片 ， 通 过 芯片 完成 线路 电气 信号 的 处 理 。 


纵横 通路 交换 


( crossbar switch ) 


图 3-49 ”纵横 通路 方式 的 结构 
纵横 通路 交换 
纵横 通路 交换 (crossbar switch) 也 称 为 交叉 点 交换 或 矩阵 交换 。 在 由 M 个 输入 线路 、N 个 输出 


线路 组 成 的 纵横 通路 交换 中 ， 会 有 MxN 个 交叉 点 (crosspoint) 每 个 交叉， 点 上 会 产生 一 个 交换 
(图 3-50) 。 当 交换 处 于 开启 状态 时 ，M 个 输入 将 和 N 个 输出 直接 连通 。 


通路 (bar) 是 数据 流动 的 载体 ， 也 可 称 为 网 状 通道 (fabric channel) 。 


图 3-50 ”纵横 通路 交换 的 结构 
接口 槽 1 “接口 槽 3 ”接口 槽 5 接口 槽 7 接口 槽 9 


5 6 9 10 1314 1718 
纵横 通路 20[ 一 交换 结构 ASIC 


78 1112 1516 


接口 槽 2 ”接口 槽 4 ”接口 槽 6 ”接口 槽 8 
图 3-51 纵横 通路 交换 的 示例 
在 图 3-51 的 示例 中 ， 该 架 型 路 由 器 拥有 9 个 接口 模 ， 每 个 接口 槽 分 配 了 两 个 网 状 通道 。 如 果 每 
个 通道 容量 为 40Gbit/s、 每 个 接口 槽 的 传输 容量 达到 80Gbit/s， 就 可 以 完成 4 端口 10G 以 太 网 或 
1 端口 40G 以 大 网 带 宽 的 双向 无 阻塞 处 理 。 
线 端 阻 塞 与 虚拟 输出 队列 
线 端 阻 塞 (HOL，Head of line blocking) 是 指 在 网 络 硬件 中 发 生 的 缓存 性 能 低下 的 现象 。 
由 输入 端口 、 交 换 结 构 、 输 出 端口 组 成 的 交换 机 中 ， 如 果 使 用 FIFO (First-in First-out) 输入 组 


存 ， 会 优先 传输 最 初 进入 缓存 (队列 ) 的 分 组 ， 但 如 果 作为 目的 地 的 输出 缓存 正在 使 用 中 ， 就 不 
会 转发 先进 入 缓存 的 分 组 ， 进 而 后 面 进入 缓存 的 分 组 也 无 法 传送 (图 3-52) 。 


Su 


图 3-52 ” 线 端 阻塞 的 形成 结构 
解决 线 端 阻 塞 的 方法 之 


图 3-53 ”2x2 的 纵横 通路 交换 示例 
如 图 3-53 所 示 ， 该 纵横 通路 交换 示例 


0 或 1 一 一 > 


0 或 1 一 一 > 


据 中 ， 以 输 ! 


1 端 


当 有 数据 同时 
00) ， 端 品 


[到 达 输 入 端 
a 为 数据 0 端口 b 为 数据 1 (01) ， 


口 c 为 目 


就 是 使 


交换 结构 


XE 


虚拟 输出 队列 。 


的 地 的 数据 


与 b 均 为 数据 1 (1) 。 


0 


率 实际 只 有 0.5。 当 输入 为 11 时 ， 
十 ， 能 够 同时 处 理 数 
生 的 概率 相等， 均 为 0.25， 所 以 2x2 交换 结 


0.25x1x2) 。 


在 图 3-54 中 ， 


同时 传输 11 或 00 这 样 两 个 连续 的 数据 时 ， 输 虽 
每 个 输出 端口 都 预先 配备 了 数 


通路 交换 中 


如 


输出 端口 


A 
六 


马 


的 整体 效率 。 


时 ， 两 个 输入 数据 会 同 


此 输出 端口 c 无 法 做 到 同时 对 夕 


该 交换 
据 ， 因 此 交换 名 


j 0 表示 ， 


c 和 d 上 各 


Di 


的 输入 输出 端 
以 输出 端口 d 为 目 


口 a、b 时， 可 能 会 发 生 以 下 四 种 情况 : 端口 
端口 a 为 数据 1 端口 b 为 数据 0 (10) ， 端 口 a 


十 传输 到 输 ; 
转发 这 两 个 数据 。 这 时 2x2 的 交换 结构 效 
吉 构 的 效率 也 同样 为 0.5。 而 在 输入 数据 为 01 或 10 

吉 构 的 效率 可 以 达到 1。 因 为 这 四 种 模式 发 
构 的 整体 效率 为 0.75= (0.25x0.5 十 0.25x0.5 十 

可 见 nxn (n > 2) 纵横 通路 交换 的 整体 效率 会 呈现 递减 的 趋势 。 


配备 ] nn 


各 有 两 个 


。 在 到 达 输 入 端 
的 的 数据 用 1 表示。 


输出 端口 


a 和 bb 的 数 


c 上 ， 


出 端 


a 与 b 均 为 数据 0 


但 输出 端口 在 单位 时 间 内 


这 时 当 输 入 端口 a 和 


口 也 能 
为 n 的 缓存 ， 


多 同时 处 理 。 
就 可 


以 此 类 推 ， 在 nxn 的 纵横 
以 达到 纵横 通路 交换 中 最 大 


当 没有 虚拟 输出 队列 时 只 能 处 配置 了 虚拟 输出 队列 时 ， 输 出 端口 可 以 
理 1 个 数据 ， 从 而 导致 发 生 线 等 待 处 理 ， 整 个 交换 结构 带宽 的 使 用 效 
端 阻塞 率 也 能 达到 最 大 化 


图 3-54 ”虚拟 输出 队列 
03.08.04 ”路 由 器 的 内 部 元 余 


传统 的 网 络 元 余 化 是 使 用 两 台 以 上 的 硬件 ， 通 过 运行 路 由 选择 协议 或 生成 树 协议 等 方式 来 实现 。 
这 种 做 法 增加 了 额外 的 硬件 或 链 路 ， 使 得 网 络 发 生 故 障 的 几率 随 之 增加 ， 切 换 时 间 的 控制 也 越 来 
越 复杂 ， 还 会 发 生 在 切换 的 几 分 钟 或 几 秒 内 丢失 分 组 的 问题 。 主 要 应 用 于 服务 供应 商 的 高 端 路 由 
器 (或 交换 机 ) 为 了 避免 这 类 问题 的 发 生 ， 会 在 1 台 硬 件 设备 上 实现 两 台 硬 件 设备 的 功能 ， 从 而 
避免 了 因 软 硬件 故障 造成 的 系统 意外 当 机 。 


[即使 发 生 故障 ， 也 能 通过 优雅 启动 
| ( gracefully start ) 避免 链 路 断 开 J 


「 连接 的 硬件 无 法 检测 ] 
【到 链 路 断 开 的 情况 | 
(通过 NFS/SSO/NSR 等 功能 恢复 ) 
图 3-55 通过 路 由 器 的 内 部 元 余 防止 故障 

控制 平面 与 数据 平面 

s 制 平面 (control plane) 和 数据 平西 (data plane, 也 可 称 为 转发 平面 ) 组 成 ， 每 


个 平面 都 有 自己 的 CPU 和 内 存 。 控 制 平面 负责 执行 路 由 选择 协议 ， 管 理 路 由 选择 处 理 必 备 的 数 

据 库 信 息 并 生成 FIB (Forward Information Base， 转 发 信息 库 ) 。FIB 信息 将 会 被 转发 到 用 于 接 

收 传输 分 组 的 数据 平面 中 。 控 制 平面 和 数据 平面 分 离 的 优点 在 于 ， 当 需要 转发 的 通信 量 剧 增 导致 

数据 平面 资源 枯竭 时 ， 虽 然 无 法 继续 进行 分 组 转发 ， 但 对 控制 平面 上 路 由 选择 处 理 所 涉及 的 资源 

没有 任 可 影 向 。 同 样 ， 当 路 由 选择 处 理 负载 剧 增 导致 控制 平面 资源 枯竭 时 ， 也 不 会 给 数据 平面 的 
分 


组 转发 处 理 带 来 任何 影响 。 


低 端 路 由 器 的 控制 平面 与 数据 平面 一 般 不 分 离 ， 使 用 唯一 的 CPU 和 内 存 进行 处 理 。 当 处 理 的 通 
言 量 达到 极限 时 ， 会 出 现 无 法 完成 分 组 转发 ， 同 时 路 由 选择 处 理 也 会 停止 的 情况 。 


控制 平面 所 需 的 核心 模块 在 思科 公司 的 路 由 器 中 称 为 路 由 处 理 器 (route processor) ， 在 Juniper 
公司 的 路 由 器 中 称 为 路 由 引擎 (routing engine) 。 


= NSF 


当 路 由 器 控制 平面 停止 运行 时 ， 数 据 平 面 也 能 够 根据 FIB 信息 不 间断 进行 分 组 转发 的 功能 即 
为 NSF (Non-Stop Forwarding， 不 间断 转发 ) ， 也 可 称 为 Graceful Restart (GR， 优 雅 重 


~ 


肩 ) 。NSF 通过 路 由 器 内 部 的 控制 平面 元 余 化 实现 ， 在 1 台 路 由 器 中 运行 主 路 由 处 理 器 和 副 
路 由 处 理 凡 两 个 处 理 器 或 引擎 ) 。 当 主 路 由 处 通路 发 生 故障 时 ”会 市 副 路 由 处 理 器 接 
替 ~ 站 理 。 


路 由 器 中 副 控制 平面 通过 同步 复制 并 管理 当前 运行 设置 和 接 | 1 状态 等 系统 信息 ， 缩 短 主 控制 
平面 发 生 故 障 时 切换 (Failover) 时 间 的 功能 ， 在 思科 公司 的 产品 中 称 为 SSO (Stateful 
Switch-Over， 状 态 切 换 ) ， 在 Juniper 公司 的 路 器 中 称 为 GRES (Graceful Routing Engine 
Switchover， 优 雅 路 由 引擎 切换 ) 。 


NSR 


NSR (Non-Stop Routing， 不 间断 路 由 ) 是 指 OSPF 或 BGP 等 路 由 选择 协议 分 别 在 路 由 器 的 
主 副 控 制 平面 中 实现 。 即 使 使 用 了 SSO 或 GRES 功能 ， 路 由 器 在 切换 控制 平面 时 与 相 邻 路 

器 的 连接 也 会 断 开 ， 这 会 导致 路 由 选择 协议 的 相 邻 关系 断裂 。 尽 管 副 控 制 平面 激活 后 所 有 
会 话 会 重新 连接 ， 但 由 于 之 前 的 链 路 已 不 存在 ， 因 此 相 邻 路 由 器 之 间 还 必须 寻找 新 的 链 路 。 


这 时 ， 使 用 NSR 藉 可 以 使 可 和 副 控制 平面 的 路 选择 协议 状态 或 相 邻 路 | 器 之 间 
的 人 司 步 。 当 主 控制 平面 发 生 故障 时 ， 无 需 切 断路 由 信息 ， 直 接 由 副 探 制 平 
芷 接 奉 即 可 ， 因 而 避免 ] 相 令 路 器 进行 路 由 重 寻 的 过 程 。 

NSS 


能 够 保持 不 间断 提供 路 由 器 运行 的 VLL (Virtual Leased Line， 虚 拟 租用 线 ) 、VPLS 
(Virtual Private LAN Service, 虚拟 专用 局 域 网 服务 ) 、1IP- VPN ~ IES (Internet Enhanced 
Service， 互 联网 增值 服务 ) 、DHCP 租用 状态 等 服务 的 功能 称 为 NSS (Non-Stop Service， 

不 间断 服务 ) 。 


ISSU 


能 够 在 不 中 断路 由 器 上 运行 的 路 由 选择 和 其 他 服务 的 状态 下 进行 路 由 器 软件 升级 的 功能 称 为 
ISSU (In-Service Software Upgrade， 不 中 断 服 务 升级 ) 。 也 可 以 说 ISSU 就 是 在 不 同 版 本 的 
软件 中 进行 NSR 和 NSS。 


路 由 器 内 部 控制 平面 的 元 余 化 ， 能 够 带 来 以 下 优点 。 


BE 


~ 


。 通过 优雅 启动 使 整个 网 络 不 间断 使 用 动态 路 由 选择 功能 ， 同 时 保持 全 网 的 稳定 。 

。 与 使 用 VRRP 等 元 余 协 议 的 网 络 相 比 ， 使 用 的 网 络 设备 数量 减少 ， 避 免 了 元 余 硬 件 之 间 
切换 抖动 带 来 的 影响 。 

。 用 户 无 需 对 设备 进行 额外 的 配置 与 接收 特定 的 培训 。 

。 线 路 见 余 无 需 使 用 STP， 减 少 了 2 次 回环 问题 发 生 的 概率 。 


。 | 网 络 中 硬件 数量 与 所 使 用 的 协议 数量 ， 所 以 简化 了 整个 网 络 ， 降 低 了 网 络 的 


。 替换 网 络 硬件 等 固有 模块 时 ， 通 信服 务 不 停 请 ， 能 够 做 到 不 间断 处 理 业务 。 


。 使 用 ISSU 能 够 升级 处 于 备份 状态 的 控制 平面 软件 ， 使 网 络 硬件 持续 服务 的 同时 ， 完 成 
版 本 升级 。 


传统 的 宛 余 结构 网 络 使 用 内 部 宛 余 的 网 络 


结构 复杂 且 发 生 故 障 的 情况 较 多 故障 很 少 
图 3-56 ”使 用 链 路 汇聚 的 网 络 和 使 用 NSF 的 元 余 结构 网 络 


03.09 ”设置 操作 系统 时 使 用 的 命令 和 模式 


03.09.01 初始 化 
刚 买 的 路 由 器 在 首次 设置 前 会 保持 出 厂 时 的 初始 设置 状态 。 

低 端 路 由 器 或 宽带 路 由 器 的 初始 默认 设置 已 经 包括 了 以 下 信息 : 管理 员 用 户 名 和 密码 、 网 络 接口 
的 私有 IP 地 址 (如 192.168.1.1) 、DHCP 服务 功能 等 ， 所 以 只 需 直接 连接 计算 机 就 可 以 远程 访 
问 UI， 完 成 后 续 设 置 


如 果 没 有 上 面 这 些 初始 设置 ， 则 需要 输入 网 络 接口 的 卫 地 址 、 了 网 掩 码 、 默认 网 关 和 管理 员 用 
户 名 与 密码 ， 输 入 后 保存 以 便 能 够 远程 访问 WebUI 或 CLI 办 


采 存 设置 后 ， 如 果 需 要 再 一 次 做 全 新 的 设置 ， 只 需 输 入 初始 化 命令 即 可 使 整个 硬件 回 到 出 三 时 的 
默认 设置 状态 。 


03.09.02 通过 CLI 设置 
几乎 所 有 通信 硬件 的 CLI 都 采用 了 和 Cisco IOS 相似 的 界面 。IOS 的 CLI 主要 有 以 下 特征 。 
CLI 模式 


多 数 通信 设备 的 CLI 都 有 不 同 的 模式 ， 有 的 模式 只 能 使 月 特定 的 命 令 用 于 管理 ， 有 的 模式 专门 用 
于 设置 工作 ， 等 等 。 每 个 模式 都 需要 密码 认证 ， 因 而 非 指 定 j 户 无 法 省 到 显示 入 息 或 更 改 设置 。 


Cisco IOS 路 由 器 中 使 用 的 模式 如 表 3-37 所 示 
表 3-37 Cisco IOS 路 由 器 的 模式 类 型 


说 明 


详细 “| Router (config) #interface FastEthernet 0/1 


此 一 Router (config-if) # 
模式 2 
Router (config-if) #end 


Router# 


名 称 
虱 代 只 能 使 用 ping、show 等 命令 表示 路 由 器 的 状态 信息 。 使 用 “>” 作 为 提示 符 
包括 了 设置 和 调试 路 由 器 ， 可 以 使 用 所 有 命令 。 在 用 户 模式 下 输入 “enable” 命 令 切 换 ， 从 特权 模式 回 到 
户 模式 则 输入 “disable”* 命 令 
特权 Router>enable 
模式 | Router# ( 转 入 特权 模式 ) 
Router#disable 
Router> ( 转 入 用 户 模式 ) 
以 路 由 器 整体 框架 为 单位 进行 设置 时 使 用 的 模式 。 在 特权 模式 下 输入 “configureterminal* 命 令 进 入 ， 返 回 特 
权 模式 时 则 输入 “exit” 命 令 
Router>enable 
全 局 
配置 Router#configure terminal 
模式 Router (config) # ( 转 入 全 局 配置 模式 ) 
Router (config) #exit 
Router# ( 转 入 特权 模式 ) 
以 路 由 器 网 络 接口 和 协议 为 单位 ， 在 为 路 由 器 的 某 些 功 能 进行 单独 设置 时 使 用 的 模式 。 例 如 ， 如 果 想 对 网 


络 接口 进行 单独 设置 ， 就 在 全 局 配置 模式 下 输入 “interface” 命 令 ， 返 回 全 局 配置 模式 则 输入 “end” 命 令 


帮助 


输入 命令 关键 字 时 在 后 面 加 上 “?”， 设 备 就 会 显示 出 i 


二 
人 
如 
沪 
洪 刻 


续 构 成 的 帮助 信息 。 如 
。 在 命令 关键 字 后 输入 空格 再 力 


键 字 中 输入 “?”， 设 备 则 会 显示 出 以 该 字符 开始 的 命令 一 览 
、 一 < 入 (二 
上 “?”， 设 备 会 提示 下 一 个 命令 关键 字 信 息 。 


荆 


例 ) 输入 copy 命令 关键 字 后 ， 再 输入 空格 和 “?”， 设 备 显示 出 下 一 个 命令 的 关键 字 信 息 ， 


可 以 明白 接 下 来 该 输入 的 是 running-confiig，startup-config 和 SRING (任意 文 伯 


F 和 名) 


o 


#copy ? 

running-config Copy running configuration file 

startup-config Backup the startup-config to a specified destination 
STRING Source file 

#copy running-config ? 


快捷 键 


是 快捷 键 中 最 常 使 用 的 一 种 。 


为 了 快速 输入 CLI 命令 信息 ，CLI 一 般 会 支持 表 3-38 列 出 的 快捷 键 。 其 中 关键 字 补 全 的 Tab 键 


表 3-38 快捷 键 的 种 类 
说 明 快捷 键 
导航 类 快捷 键 
光标 右 移 1 个 字符 Ctrl+F 或 ~ 
光标 左 移 1 个 字符 Ctrl+B 或 - 
光标 右 移 (前 移 ) 一 个 单词 Esc+F 
光标 左 移 (后 移 ) 一 个 单词 Esc+B 
光标 移动 至 行 Ctrl+A 
光标 移动 至 行 末 Ctrl+E 
编辑 类 快捷 键 
删除 光标 位 置 上 的 字符 Ctl+D 
I 除 从 光标 开始 至 字符 串 末 尾 的 所 有 字符 Esc+D 
| 除 光标 前 的 字符 Ctrl+H 或 backspace 
|j 除 从 光标 位 置 开始 至 行 末尾 的 所 有 字符 Ctrl+K 
| 除 光 标 至 行 首 的 所 有 字符 Ctrl+U 
| 除 光标 左 侧 一 个 字符 串 的 所 有 字符 Ctrl+W 
调 出 最 后 一 次 删除 的 项 Ctrl+Y 
补 全 单词 〈 仅 在 候选 单词 数量 为 1 时 补 全 ) Tab 
补 全 单词 〈 仅 在 候选 单词 数量 为 1 时 补 全 ， 和 tab 相 同 ) Ctrl+I 
命令 历史 
键盘 上 的 1 或 Ctrl+P 键 能 够 调 出 当前 命令 前 一 次 使 用 的 历史 命令 。! 或 Ctl+N 能 调 出 当前 命令 下 
一 条 使 用 的 历史 命令 。 使 用 “show history” 命 令 能 够 列 出 所 有 缓存 下 来 的 历史 命令 清单 。 
03.09.03 ”保存 设置 的 方法 
使 用 保存 命令 的 方式 
在 Cisco IOS 中 通过 命令 更 改 路 由 器 设置 后 ， 这 个 人 更 改 会 立刻 在 路 由 器 上 体现 ， 并 以 running- 
config 的 形式 保存 在 RAM 中 。 当 因 切 断 电 源 等 原因 重新 启动 时 ，RAM 中 的 信息 全 部 丢失 ， 路 
器 则 NVRAM 中 的 startup-config 。 因此 在 保存 路 器 的 当前 设置 时 ， 还 要 通过 下 面 的 
保存 命令 (save command) 完成 从 running-config 到 startup-config 的 拷贝 。 
Router#copy running-config startup-config 
以 前 大 多 数 通信 设备 均 使 该 方式 操作 。 但 由 于 输入 命令 后 变化 会 立刻 在 设备 中 体现 ， 因 此 当 输 
入 了 错误 命令 的 时 候 ， 就 会 发 生 问 题 。 
使 用 提交 方式 (commit) 
Juniper 公司 的 JUNOS 和 Palo Alto Networks 公司 (以 下 简称 Palo Alto 公司 ) 的 PAN-OS 使 用 ] 
称 为 提交 (commit) 的 保存 方式 。 当 管理 员 通过 命令 行 修 改 设置 时 ， 修 改 信息 只 保存 于 
candidate config 中 ， 而 不 体现 在 路 由 器 上 。 当 输入 “commit” 命 令 时 ，candidate config 中 的 内 容 才 
会 体现 在 路 由 器 中 ， 同 时 该 设置 信息 的 保存 形式 也 变 成 active config (running-config) 。 与 
startup-config 一 样 ，active config 也 是 在 设备 重启 时 可 被 加 载 的 config。 
在 提交 方式 中 ， 即 使 设置 到 一 半 发 现 出 错 了 ， 也 可 以 在 设置 正式 生效 、 路 由 器 的 运行 改变 之 前 进 
行 修改 。 另 外 ， 因 为 该 方式 可 以 管理 之 前 50 次 甚至 100 次 的 提交 设置 记录 ， 因 此 还 能 够 简单 地 


还 原 之 前 的 设置 。 


03.09.04 ”恢复 出 厂 设置 的 重 置 方法 


路 


器 或 其 
要 彻底 改变 ; 


Cisco IOS 中 可 以 jj 


i 件 


也 网 络 磺 
入 


舱 都 会 提供 恢复 到 
途 而 进行 初始 化 时 


1. 检 


上 


器 配置 寄存 器 ， 即 输 # 
在 全 局 模式 下 输入 config-register 0x2102 命令 。 


过 下 面 的 方式 恢复 出 三 设置 。 
全 局 配置 模式 下 ， 使 
路 


show version 命令 后 的 最 后 


“config-register 0x2102” 命 令 


tH 三 设置 的 功能 。 当 管理 员 忘记 已 经 更 改 的 密码 或 想 
| ， 部 需要 使 用 恢复 出 三 设置 的 功能 。 


行 。 如 果 寄 存 器 不 是 0x2102， 则 


router# configure terminal 

router (config) # config-register Ox2102 

router (config) # end 

router# 

2. 使 用 write erase 命令 ， 删 除 路 由 器 启动 配置 信息 。 
3. 使 用 reload 命令 重 置 路 由 器 ， 且 不 保存 当前 设置 。 
router#reload 


System configuration has been modified,. Save? [yes/no]: n 
Proceed with reload? [confirm] 


4. 路 


器 重 


后 ， 会 


显示 System Configuration 对 话 提 示 ， 路 


器 设 定 已 恢复 为 出 厂 默 认 设置 。 


--- System Configuration Dialog --- 
Would you like to enter the initial configuration dialog? [yes/no]: 


第 4 章 理解 L3 交 换 机 的 性 能 与 功能 


本 章 将 集 


理解 路 


1 介绍 L3 交换 机 和 多 层 
器 与 3 交 ] ° 


奥 机 的 不 同 


， 本 章 还 会 介绍 多 种 VLAN 。 


04.01 何 为 L3 交换 机 


交换 机 的 历史 、 


类 、 功 能 、 架 构 等 相关 信息 ， 


帮助 读者 


L3 交换 机 是 一 种 在 L2 交换 机 的 基础 上 增加 了 路 | 


FPGA 的 硬件 处 理 高 速 实现 网 络 功能 和 转发 分 组 。 


L2 是 指 OSI 参考 模型 中 的 L2， 也 就 是 数据 链 路 层 。L2 交换 机 能 够 基于 该 层 主要 编 址 的 MAC 地 
据 帧 或 VLAN (Virtual Lan) 的 传输 工作 。L3 交换 机 能 够 基于 位 于 网 络 层 (L3) 的 


址 ， 进 行 数 


实现 路 由 选择 以 及 分 组 过 滤 等 功能 。 


IP 首部 信息 ， 


L2 交换 机 可 以 通过 使 用 VLAN 分 割 广 播 域 ， 但 终端 之 间 的 数据 帧 交换 必须 位 于 同一 VLAN 范围 


内 。 对 位 于 
外 添加 路 


不 同 VLAN 上 的 终端 如 有 通信 需求 时 ， 则 必 
器 (图 4-1) 。 


选择 功能 的 网 络 硬件 ， 能 够 通过 基于 ASIC 和 


须 使 用 路 由 功能 ， 因 此 需要 在 网 络 上 额 


L2 交换 机 与 路 由 器 相 组 合 才能 完成 跨 VLAN 的 通信 ， 但 使 用 L3 交换 机 则 无 需 其 他 硬件 设备 ， 


能 够 直接 


图 4-1 LL2 


图 4-2 L3 


完成 VLAN 配置 和 VLAN 之 间 的 通信 过 程 。 


VLAN 之 间 的 通信 和 需要 借助 路 由 器 完 
使 用 VLAN 能 够 分 割 广播 域 成 路 由 选择 功能 方 能 进行 


L2 交 换 机 。 路 由 器 ; 


192.168.1.0/2 


VLANI1 VLAN2 VLANI VLAN2 


交换 机 使 用 VLAN 时 的 概念 图 


VLANI1 VLAN2 


交换 机 使 用 VLAN 时 的 概念 图 


现在 ， 越 来 


Intranet 内 部 转发 分 组 ， 而 路 由 器 则 大 多 作为 连接 互联 网 和 Intranet 内 网 之 间 的 网 关 来 使 用 。 


04.01.01 


1 台 L3 交 换 机 就 能 够 
完成 VLAN 路 由 


越 多 组 织 的 内 部 网 络 核 心 交 换 机 采用 L3 交换 机 。L3 交换 机 多 用 于 在 由 以 太 网 构筑 的 


L3 交换 机 与 路 由 器 的 不 同 


-U 


网 络 的 网 络 层 
以 太 网 的 数 


期 的 L3 交换 机 有 些 产 品 支 持 非 以 太 网 的 数据 链 路 层 协 议 ， 如 FDDI 和 令 牌 环 等 ， 也 文 持 非 IP 


妇 协 议 ， 如 IPX 和 AppleTalk 等 。 但 是 现在 
据 链 路 层 协 议和 卫 网 络 的 网 络 层 协议 。 


和 场 上 主流 的 L3 交换 机 产品 一 般 仅 支 持 


路 由 器 的 物理 层 以 及 数据 链 路 层 除了 IEEE 802 标准 以 外 ， 还 需 支 持 其 他 各 种 协议 ， 其 中 包括 
AIM、 帧 中 继 、SDH、 串 口 等 。 网 络 层 和 传输 层 也 同样 需要 支持 TCP/IP 协议 复 以 外 的 协议 簇 ， 
如 IPX、AppleTalk 等 。 这 些 处 理 一 般 都 由 运行 在 CPU 上 的 软件 来 完成 ， 与 L3 交换 机 相 比 ， 速 
度 会 慢 不 少 ， 但 类 似 远程 接 入 、 安 全 功能 这 样 必须 由 路 由 器 CPU 来 处 理 的 功能 也 很 多 ( 表 4- 
1) 。 中 端 以 上 级 别 的 路 由 器 大 多 数 采用 网 络 处 理 器 (参考 01.06.04 节 ) 高 速 进行 数据 链 路 层 以 
下 的 处 理 。 
另外 ， 低 端 路 由 器 产品 中 大 多 数 只 支持 以 太 网 和 卫 网 络 协议 。 
表 4-1 L3 交换 机 同 路 由 器 的 比较 
L3 交换 机 路 由 器 

硬件 箱 式 、 机 框 式 寞 面 式 、 箱 式 、 机 框 式 

数据 帧 处 理 基于 ASIC 的 硬件 处 理 基于 CPU 的 软件 处 理 

性 能 线 速 (wire rate) 注 1 处 理 比 L3 交 换 机 速度 慢 

接口 以 太 网 (RJ-45、 光 收发 器 ) i 

不 支持 的 协 拨号 接 入 (PPP、PPPoE) 、 高 Qos、NAT、VPN 、 状 |STP/RSTP 、LAN tracking 、IEEE 

议 、 功 能 注 2 “| 态 检 测 、 高 安全 功能 、VoIP 等 802.1X、 私 有 VLAN、 堆 县 等 
注 1: 线 速 (wire rate) 的 相关 内 容 请 参考 第 7 章 。L3 交换 机 在 千 光 以太 网 时 单 向 传输 速率 能 够 达到 1Gbits， 而 路 由 器 无 法 达到 
1Gbit/s 。 
注 2 : 根据 机 型 不 同 ， 有 些 产 品 能 够 通过 添加 模块 来 扩展 支持 功能 
L3 交换 机 的 架构 
L3 交换 机 的 构成 要 素 如 图 4-3 以 及 表 4- 2 所 示 ， 高 端 路 由 器 和 防火 墙 也 使 用 同样 的 架构 。 传 统 

器 的 路 由 选择 功能 、 分 组 转发 以 及 管理 功能 等 均 CPU 处 理 EE， 管 理 功 能 负载 的 增加 ， 就 会 带 
来 分 组 转发 能 力 的 下 降 。 L3 交换 机 改善 了 这 一 缺点 ， 将 硬件 设备 内 部 分 离 成 两 个 区 域 ， 即 以 路 
选择 、 管 理 功能 为 主 的 控制 平面 和 以 数据 转发 功能 为 主 的 数据 平面 ， 从 而 实现 了 能 够 高 速 转发 

分 组 的 系统 架构 。 


控制 平面 
( 通 


数据 平面 
(ASIC、TCAM ) 


图 4-3 L3 交换 机 的 结构 


用 CPU、 内 存 、Supervisor IOS ) 


表 4-2 L3 交换 机 的 硬件 构成 


当 碘 


硬 
人 | 说 明 
成 
市 通过 基于 CPU 的 软件 外 理 浊 行人 可 体 控制 。 抽 责 训 作 系统 管理 、 管 理 员 用 户 办 而 、 小 由 这样 协 议 外 理 等 
ry 
里 “| 通 过 基于 ASIC 、FPGA 、 网络 处 理 器 的 硬件 处 理 来 进行 实际 的 数据 传输 。 在 L2 上 完成 MAC 数 据 帧 传输 (村 
平 | 接 ) 、 在 L3 上 完成 下 分 组 传输 《路 由 选择 ) 。 在 传输 时 也 会 进行 必要 的 访问 控制 列表 和 QoS 相关 的 处 理 
完成 多 理 扩 日 之 辣 的 数据 传输 。 背 板 存 在 下 面 几 种 方式 《具体 内 容 参 考 6.08 季 ) 
背 板 方式 说 明 
享 总 线 方 | 在 机 框 内 部 使 用 1 根 总 线 (数据 传输 线路 ) 。 在 总 线 上 一 次 只 能 通过 1 个 数 
式 据 由 
或 到 站 存放 | 在 共享 内 存 中 存储 接收 到 的 数据 帧 ， 然 后 在 发 送 接口 处 读 取 数据 帧 并 转 必 
猴 模 通路 方 ”| 在 多 个 呈 网 状 的 总 线 上 同时 完成 数据 的 传输 
| 
机 
机 框 内 连接 各 线 卡 (刀片 设备 ) 的 以 太 网 标准 
标准 表述 、 速 度 
1000BASE-KX (1Gbit/s) 
IEEE 802.3ap 10GBASE-KX4 (10Gbit/s) 
10GBASE-KR (10Gbit/s) 
IEEE 802.3ba 40GBASE-KR4 (40Gbit/s) 
7 
时“| 与 其 他 硬件 之 间 进 行 数据 由 收发 。 在 3 交换 机 中 使 用 RJ-45 或 光 收发 器 (SFP 等 ) 接头 
当 硬件 内 部 结构 分 为 控制 平面 和 数据 平面 时 ， 分 组 的 传输 需要 利用 FIB (转发 信息 库 ) 与 邻接 表 
的 信息 ( 表 4-3) 。 在 Cisco IOS 中 这 种 利用 转发 信息 库 和 邻接 表 信 息 的 IP 分 组 传输 方式 叫做 


CEF (Cisco Express Forwarding, Cisco 特快 转发 ) 。 
表 4-3 ”控制 平面 与 数据 平面 上 传输 的 信息 


Information Base) 


表 项 说 明 
下 蒜 于 控制 平面 上 路 由 选择 表 的 信息 在 数据 平面 上 生成 的 、 由 当前 有 效 的 目的 地 子 网 、 下 一 
\Forwarding 跳 、 输 出 接口 的 组 合 等 信息 构成 的 表 项 


邻接 表 于 控 制 


上 ARP 表 的 信息 在 数据 平面 上 生成 的 、 由 当前 有 效 


的 地 主机 和 输出 接口 对 


(adjacency table) 等 信息 构成 


Key 


表 项 


器 使 用 CPU 完成 分 组 转发 ， 


二 去 


oo 


而 L3 交换 机 使 用 ASIC 代替 CPU， 


日 的 转发 更 


为 高 速 (图 4- 


人 2 根据 内 存 上 存储 
的 路 由 选择 表 信 
息 决定 输出 端口 


每 块 线 卡 与 交换 结构 之 间 的 总 线 带 宽 之 和 
即 为 背 板 的 带宽 


习 转发 至 配 有 输出 端口 
的 线 卡 上 


在 线 卡 上 检索 路 由 表 或 修改 |P 分 组 信息 


图 4-4 箱 式 和 机 框 式 L3 交换 机 的 架构 


L3 交换 机 将 转发 信息 库 和 邻接 表 整 合成 1 份 


@) 修改 L2/L3 首 部 ， 输 出 至 交换 
结构 中 


每 块 线 卡 与 交换 结构 之 间 的 总 线 带宽 之 和 
即 为 背 板 的 带宽 


表 项 。 该 表 称 为 FDB (Forwarding Database， 转 发 


数据 库 ) 或 L3 表 ， 注册 于 内 存 中 并 通过 硬件 处 理 完成 高 速 检 索 。 (图 4-5) 


图 4-5 


| | 
目的 地 M 主机 11 [ol | 1 | 


001T22ccddee |00.01.23:11-22.33 | 20 | 
00:11:22:dd:ee:f ”|00:01:23:11:22:33 | 20 | 


L3 交 换 机 MAC: 00:11:22:cc:dd:ee 


IP: 10.1.1.100 


过 00:01:23:11:22:33 
192.168.1.1 


MAC: 00:11:22:dd:ee:ff 
1IP: 10.1.1.101 


MAC: 00:11:22:aa:bb:cc 
IP: 192.168.1.4 
MAC: 00:11:22:bb:ce:dd 
IP: 192.168.1.5 


L3 表 的 概念 图 


IP 
人 IPX 


pd 


| Fx 

| 路 由 协议 处 理 日 的 地 : 
| 192.168.1.0/24 

! 一 一 J 10.1.1.0/24 


转发 至 各 个 目的 地 的 第 一 个 分 组 通过 软件 
处 理 检 索 和 给 出 端口 ， 并 将 检索 结果 写 入 
L2/L3 转 发 表 中 


ARP 表 


IP 地 址 
192.168.1.1/24 
10.1.1.1/24 


CPU 


eac | 
第 2 个 分 组 之 后 ， 目 的 | ] 


| | 地 交 由 ASIC 检 索 | 专用 ASIC | 

| DRAM 

| 、 访 问 控制 列表 、L4 处 理 I H+ Se 

| !! I 

J 

| 专用 ASIC 

| 00:11:22:aa:bb:cc 分 组 处 理 单 元 

| 00:11:22:bb:cc'dd 

| 00:11:22:cc:dd:ee 

| 00:11:22:dd:ee:ff 

| 10GbE | | 1GbE | OA | 
| MAC MAC MAC | 
00:11:22:cc:dd:ee 

| 00:11:22:dd:ee: 件 10GbE 1GbE 100Mbit/s| | 
| PHY PHY PHY 


路 由 选择 ASIC 【硬件 ) 处 理 


分 组 ASIC ( 硬件 ) 处 理 


图 4-6 L3 交换 机 的 内 部 处 理 示 例 
04.01.02 ”多 层 交 换 
除 L2 交换 机 之 外 ， 拥 有 L3 以 上 功能 的 交换 机 统称 为 多 


拥有 卫 路 由 选择 等 网 络 层 功 能 的 L3 交换 机 几乎 都 能 
TCP 端口 编号 进行 访问 控制 ， 因 此 这 些 L3 交换 机 在 有 些 场景 下 也 可 


层 交 换 机 或 高 


高 


够 通过 访问 控制 列表 来 对 传输 层 (L4 
被 称 为 多 层 交 换 机 。 


) 的 


这 类 能 够 支持 到 TCP 层级 访问 控制 的 交换 机 称 为 L4 交换 机 。 甚至 有 些 产 品 能 够 基于 HTTP 和 

HTTPS 这 类 应 用 层 (L7 L7) 参数 进行 负载 均衡 (Load Balancing) 等 操作 ， 这 类 产品 可 以 称 为 L7 

交换 机 。 有 些 厂商 将 处 理 到 该 层 的 产品 与 之 前 的 路 由 器 区 分 开 来 ， 作 为 不 同类 型 的 产品 进行 销 

售 。 但 所 谓 的 多 层 交 换 机 ， 也 就 是 通过 基于 ASIC 或 FPGA 的 硬件 处 理 ， 来 高 速 进行 各 层 相关 业 
务 处 理 的 网 络 硬件 。 

多 层 交 换 机 与 传统 路 由 器 的 不 同 之 处 也 可 参考 表 4-1。 

负载 均衡 器 

从 多 个 客户 端 同时 连接 到 1 台 服 务 器 可 能 会 导致 服务 器 的 处 理 能 力 超过 负载 。 这 时 ， 如 果 准 备 了 
多 台 拥 有 相同 内 容 或 提供 相同 服务 的 服务 器 ， 通过 使 用 负载 均衡 器 (load balancer) ， 就 可 以 将 
来 自 客户 端的 请 求 分 散 到 各 个 服务 器 进行 处 理 。 

负载 均衡 器 可 以 是 专用 设备 ， 也 可 以 是 在 通用 服务 器 上 运行 的 应 用 程序 。 专 用 设备 一 般 只 有 以 太 


网 接口 ， 可 以 说 是 多 层 交 换 机 的 一 种 。 


ASS 


另外 ， 也 存在 拥有 分 组 负载 均衡 功能 的 路 由 器 。 
专用 设备 的 负载 均衡 器 示例 


图 4-7 F5 Networks 公司 BIG-IP 系列 


图 4-8 精工 精密 (SEIKO PRECISION) 公司 的 NetWiser 系列 


图 4-9 A10 Networks 公司 的 AX 系列 


图 4-10 Radware 公司 的 Alteon 系列 ! 


上 该 品 线 收购 自 北 电网 络 。 一 一 译 者 注 


负载 均衡 器 一 般 会 被 分 配 虚拟 IP 地 址 ， 所 有 来 自 客户 端的 请 求 都 是 针对 虚拟 IP 地 址 完成 的 有 
4-11) 。 负 载 均衡 器 通过 负载 均衡 算法 将 来 自 客户 端的 请 求 转发 到 服务 器 的 实际 耳 地 址 上 。 


如 表 4-4 所 示 ， 通 过 使 用 负载 均衡 器 可 以 提高 扩展 性 和 可 靠 性 
表 4-4 负载 群 衡器 的 作用 


[| 


en 在 服务 器 群 〈 即 虚拟 服务 器 ) 处 理 能 力 不 足 时 ， 负 载 均衡 器 能 够 随时 添加 1 台 物 理 服务 器 。 由 于 客户 端 访 问 
的 是 虚拟 IP 地 址 ， 因 此 虚拟 服务 器 性 能 的 提高 是 显而易见 的 


ie 即使 服务 器 群 中 某 台 服务 器 发 生 了 故障 ， 虚 拟 服务 器 也 会 继续 提供 服务 ， 以 确保 其 他 服务 器 能 够 继续 不 间 
断 地 处 理 业 务 。 同 理 ， 当 服务 器 群 中 某 台 服务 器 需要 停机 保养 时 ， 也 可 以 通过 不 间断 虚拟 服务 器 来 完成 


客户 端 向 虚拟 服务 器 


虚拟 服务 器 


用 户 ( 客户 端 ) 服务 器 


图 4-11 使 用 负载 均衡 器 时 的 流程 


人 负载 均衡 器 不 仅 适 用 于 服务 器 ， 防 火 墙 或 代理 服务 器 这 种 仅 靠 1 台 设 备 就 会 性 能 十 分 差 的 安全 设 
备 也 可 以 使 用 负载 均衡 器 。 


表 4-5 举例 说 明了 负载 均衡 器 将 来 自 客户 端的 请 求 
表 4-5 负载 均衡 算法 的 示例 


站 


本 
出 


服务 器 时 使 用 的 负载 均衡 算法 。 


算法 名 称 说 明 
轮 询 假如 有 3 台 服 务 器 ， 则 以 1 -2 一 3 一 1 一 2 一 3 一 1..…… 的 顺序 进行 负载 均衡 分 散 的 算法 。 当 服务 器 群 中 
(Round 。 | 各 服务 器 的 处 理 能 力 相同 ， 且 每 笔 业务 处 理 量 差 异 不 大 时 ， 最 适合 使 用 该 算法 。 该 算法 中 的 DNS 轮 
Robin) 。 | 询 ， 在 1 个 域名 内 分 配 了 多 个 中 地 址 ， 即 使 不 使 用 负载 均衡 器 也 能 够 完成 服务 器 之 间 的 负载 均衡 
县 作证 慌 。 | 在 多 个 服务 器 中 ， 与 处 理 连 搂 数 (会 话 数 ) 最 少 的 服务 器 进行 通信 的 算法 。 即 使 在 每 台 服务 器 处 理 
CU | 能力 各 不 相同 ， 每 笔 业 务 处 理 量 也 不 相同 的 情况 下 ， 也 能 够 在 一 定 程度 上 降低 服务 器 的 负载 
加 权 轮 沿 | 为 轮 询 中 的 每 台 服 务 器 附加 一 定 权重 的 算法 。 例 如 ， 为 服务 器 1 附加 权重 1， 服 务 器 2 附加 权重 2， 服 
Rn 务 器 3 附加 权重 3， 则 以 1 2 2 一 3 二 33~1-2- 2-3~3-3-1~…… 的 顺序 进行 轮 询 ， 该 算法 
Round | 适用 于 各 服务 器 处 理 能 力 不 同 的 情况 


加 权 最 少 连 接 

(Weighted ”| 为 最 少 连接 算法 中 的 每 台 服 务 器 附加 权重 的 算法 。 该 算法 事先 为 每 台 服 务 器 分 配 处 理 连接 的 数量 ， 
Least 并 将 客户 端 请 求 转 至 连接 数 最 少 的 服务 器 上 
Connections) 


通过 管理 发 送 方 亿 和 目的 地 P 地 址 的 散 列 ， 将 来 自 同一 发 送 方 的 分 组 (或 发 送 至 同一 目的 地 的 分 
IP 地 址 散 列 ”| 组 ”统一 转发 到 相同 服务 器 的 算法 。 当 客户 品 丰 系列 业务 需要 处 理 而 必须 和 一 个 服务 器 反复 通信 

该 算法 能 够 以 流 (会 话 ) 为 单位 ， 保 证 来 自 相同 客户 端的 通信 能 够 一 直 在 同一 服务 器 中 进行 处 
开 


URL 散 列 通过 管理 客户 端 请求 URL 信 息 的 散 列 ， 将 发 送 至 相同 URL 的 请 求 转发 至 同一 服务 器 的 算法 


SSL 加 速 


SSL 加 速 ( (SSL Acceleration) 是 负载 均衡 器 专用 设备 提供 的 功能 之 一 ， 执 行 该 功能 的 设 


置 称 为 SSL 加 速 器 


比 ， ie 的 处 理 负载 是 前 者 的 10 倍 。 


在 ww 了 SSL 通信 时 ， 对 通信 终端 之 间 传输 的 数据 进行 加 密 解 密 的 操作 需要 执行 相 
的 计算 ， 这 会 导致 服务 器 CPU 的 处 理 负载 进一步 加 大。 而 与 不 执行 加 密 解 密 的 HTTP 通信 相 


> 名 
当 复 杂 


至 实际 的 服务 器 上 ， 这 样 就 可 以 降低 服务 器 CPU 的 处 理 负 载 (图 4-12) 


这 时 ， 通 过 使 用 SSL 加 速 器 对 来 自 客户 端的 HTTPS 请 求解 密 ， 将 其 转换 为 HTTP 请 求 后 


再 转发 


够 转发 更 多 Web 服务 内 容 。 


图 4-12 ”SSL 加 速 


04.02 L3 交换 机 是 如 何 诞生 的 


正如 03.02 节 所 述 ， 早 期 的 路 由 器 文 持 ATM、 帧 中 继 、 串 行 传输 等 各 类 数据 链 路 层 


网 络 处 理 需求 。 


支持 IP 路 由 选择 等 L3 功能 的 3 交换 机 。 


1990 年 ， 美 蕊 Kalpana 公司 发 布 了 世界 上 第 一 台 L2 交换 机 EtherSwitch。 随 后 ，1992 年 ， 


这 样 一 来 ， 整 个 系统 在 提高 服务 器 响应 速度 的 同时 还 能 减少 必 备 服务 器 的 数量 ， 在 单位 


(L2) 的 通 


时 间 内 能 


言 功 能 ， 而 且 在 网 络 层 (L3) 中 同样 支持 IP 网 络 之 外 的 IPX、 AppleTalk 等 网 络 层 协议 复 。 这 些 
协议 均 是 通过 基于 CPU 的 软件 处 理 来 实现 的 ， 但 是 随 着 网 络 通信 流量 的 增加 ， 出 现 了 更 高 速 的 


在 这 样 的 背景 下 ， 各 个 厂商 开发 了 在 使 用 ASIC 完成 高 速 数据 帧 处 理 的 L2 交换 机 基础 上 ， 


3Com 


公司 为 了 缩减 设 与 投资 成 本 ， 在 LANplex5000 交换 机 上 实现 了 路 由 选择 功能 (这 时 的 路 


CoreBuilder 系列 交换 机 。 


1996 年 ，Extreme Networks 公司 和 Foundry Networks 公司 ? 相继 成 立 ， 并 成 为 L3 交换 机 供应 


商 。 不 久之 后 ， 思 科 公 司 等 传统 交换 机 厂商 也 开始 发 布 支持 新 功能 、 新 特性 的 产品 ， 
透 到 L3 交换 机 市 场 ° 


PF 该 公司 已 被 博 科 通讯 系统 公司 (Brocade) 收购 。 译 者 注 


表 4-6 L3 交换 机 的 历史 


选择 功能 还 是 基于 软件 处 理 的 ) 。 不 久之 后 ，3Com 公司 又 发 布 了 使 用 ASIC 实现 路 


由 选择 的 


逐步 开始 渗 


年 事件 标准 化 等 


年 事件 标准 化 等 
IEEE 802.3a (10BASE2) 
RIP (RFC1058) 
1990 | Kalpana 公 司 发 售 EtherSwitch 交 换 机 产品 IEEE 802.3i (10BASE-T) 
1992 | 3Com 公 司 在 LANplex 5000 交 换 机 上 实现 路 由 选择 功能 OSPF 版 本 2 (RFC1247) 
1993 | 思科 公司 发 售 高 端 路 由 器 Cisco 7000 
IEEE 802.3u (100BASE-TX) 
1995 | 思科 公司 发 布 Catalyst 5000 交 换 机 BGP 版 本 4 (RFC1771) 
IPv6 (RFC1883) 


Foundry Networks 公 司 成 立 
1996 | Extreme Network 公 司 成 立 
Juniper Networks 公 司 成 立 


Foundry Networks 公 司 发 布 干 兆 以 太 网 交换 机 Fastlron 和 L3 交 换 机 Netlron 
发 布 千 兆 以 太 网 L3 交 换 机 Summit1 


Extreme Network 公 司 
为 Catalyst 5000 系 列 交换 机 添加 L3 功 能 


1997 
思科 公司 


IEEE 802.3z (100BASE-X) 
RIP 版 本 2 (RFC2453) 


1998 | Foundry Networks 公 司 发 布 L4~L7 层 交换 机 
思科 公司 发 布 L3 交 换 机 Catalyst 8500 系 列 


vv 


IEEE 802.1Q (VLAN) 


IEEE 802.3ab (1000BASE-T) 


思科 公司 


发 售 Catalyst 6000 系 列 和 Catalyst 6500 系 列 交换 机 
Force10 Networks 公 司 成 立 


1999 
2000 | 思科 公司 发 售 L3 交 换 机 Catalyst 2948G-L3 和 Catalyst 4908G-L3 
2001 | Foundry Networks 公 司 发 布 万 兆 以 太 网 模块 MPLS (RFC3031) 
2002 | F5 Networks 公 司 成 立 
志清 IEEE 802.3ae (10GBASE-R) 
IEEE 802.1Q (VLAN) 修订 版 
电气 公司 的 合资 公司 ALAXALA Networks 公 司 成 立 


层 交 换 机 Serverlron 系 列 


立 制 作 所 和 日 本 
Foundry Networks 公 司 发 布 L4~7 


2004 
A10 Networks 公 司 成 立 


2006 


IEEE 802.3an (10GBASE-T) 


UDLD (RFC5171) 


Juniper Networks 公 司 发 布 以 太 网 交换 机 EX 系列 
充 公司 (Brocade) 收购 Foundry Networks 公 司 


2008 | 博 科 通 讯 系统 


2011 | Dell 公 司 收购 Force10 Networks 公 司 


L3 交换 机 的 性 能 比较 


L3 交换 机 和 路 由 器 一 样 ， 以 pps 为 单位 描述 转发 性 能 (分 组 处 理性 能 ，， 而 且 和 2 交换 机 一 
样 ， 帧 处 理 能 力 以 最 大 交换 容量 ( 背 板 容量 ) 为 指标 。 


表 4-7 总 结 了 各 个 厂商 L3 交换 机 产品 的 最 大 交换 容量 


产品 名 称 最 大 交换 容量 注 1 
Cisco Systems Catalyst 3750 32Gbit/s 
Brocade FCX 624 128~200Gbit/s 
Cisco Systems Catalyst 6500 720Gbit/s 
Brocade FastIron SX 1600 1.08Tbit/s 
Cisco Systems Nexus 7000 1.4Tbit/s 
ALAXALA Networks AX7816S 768Gbit/s 
Juniper Networks EX8216 12.4Tbit/s 
Brocade MLXe 15.36Tbit/s 


注 1: 数据 来 自 各 个 产品 的 规格 说 明 书 。 


04.03 ”LL3 交换 机 的 分 类 


04.03.01 ”根据 形状 和 用 途 分 类 
和 LL2 交换 机 一 样 ，L3 交换 机 也 可 以 根据 形状 和 用 途 分 类 ， 详 
04.03.02 ”根据 性 能 分 类 

根据 L3 交换 机 的 背 板 容 量 ，L3 交换 机 可 以 分 成 高 端 机 、 中 端 机 和 低 端 机 。 
高 端 L3 交换 机 


机 框 式 L3 交换 机 由 路 由 引 警 、 交 换 结构 、 线 卡 模块 、 风 遍 模 块 和 电源 模块 这 几 个 模块 构成 ， 
般 作为 企业 的 核心 交换 机 用 于 数据 中 心 或 服务 供应 商 。 


为 了 提高 交换 机 的 可 靠 性 ， 除 了 线 卡 模块 之 外 ， 其 余 模块 均 提供 了 宛 余 结构 。 电 源 或 太 
常 采用 1+N 或 N+N 宛 余 结构 ， 路 由 引擎 则 通常 采用 1+1 的 兄 余 结构 3。L3 交换 机 0 
i 整个 系统 的 可 用 性 ， 但 使 用 单 台 交换 机 内 部 元 余 的 情况 
也 很 多 。 


NVS 


内 容 可 以 参考 02.06 节 。 


] 坟 


3 在 M+N 的 元 余 结构 中 ， 为 了 获得 M 台 设 备 的 性 能 ， 需 要 使 用 N 台 宛 余 系 统 。 例 如 ， 为 了 获得 100W 电力 供应 ， 如 果 使 
1+1 的 宛 余 结构 ， 则 需要 使 用 两 个 100W 电源 模块 ， 即 使 其 中 一 个 模块 发 生 故 障 ， 另 外 一 个 也 能 保障 100W 的 电力 供应 ; 在 

N+1 宛 余 结 构 且 N=2 时 ， 就 需要 3 个 50W 电源 模块 ， 当 其 中 一 个 发 生 故 障 时 ， 剩 余 两 个 模块 能 够 保障 100W 的 电源 供应 。 在 
N+N 元 余 结构 且 N=2 时 ， 需 要 使 用 4 个 50W 电源 模块 ， 每 两 块 成 对 使 用 ， 使 得 无 论 哪 个 电源 发 生 故 障 ， 都 有 另 一 电源 模块 对 
接 苦 ， 从 而 保障 100W 电力 的 供应 。 


该 类 型 L3 交换 机 的 价格 在 500~1000 万 日 元 左右 4。 


4 例如 思科 公司 的 Catalyst 6500 系列 、Catalyst 4500 系列 以 及 Juniper Networks 公司 的 EX8200 系列 等 。 


表 4-8 列 出 了 主要 的 高 端 L3 交换 机 产品 信息 。 
表 4-8 各 公司 高 端 L3 交换 机 产品 的 性 能 比较 


Cisco Systems Juniper Networks 
Catalyst 6509 EX8216 


ALAXALA Networks 
AX6708S 


15RU 21RU 


涵 也 前世 


16 


湾 尊 串 漳 其 浅 渡 半 贡 


1.4Tbit/s 12.4Tbit/s 


函 联 藻 焉 半 各 


9RU 


1.15Tbit/s 


最 大 8700W 最 大 15000W 


证 莹 过 是 汗 普 


最 大 4400W 


80Gbit/s 320Gbit/s 


修订 涪 冰 遵 攻 


576 768 


涝 互 獒 举 飞 洒 部 否 兰 冰 溉 靖 昔 落 攻 


92 


Cisco Systems 
Catalyst 6509 


Juniper Networks 
EX8216 


ALAXALA Networks 
AX6708S 


涝 号 将 举 过 洁 各 相关 冰 渤 靖 昔 歼 攻 


130 


128 


64 


中 端 L3 交换 机 


中 端 L3 交换 机 一 般 为 箱 式 交 换 机 或 最 大 插 槽 数 为 4 的 机 框 式 (模块 式 ) 交换 机 ， 用 于 将 企业 核 


心 交换 机 和 边缘 交换 机 进行 


[ 聚 交 换 ， 价 格 


在 100 万 ~500 万 日 元 左右 


[eo] 


中 的 代表 有 思科 公司 的 Catalyst 4500 系列 、Catalyst 4900 系列 ，juniper 公司 的 EX4500 系列 、EX4200 系列 ， 日 立 电线 公司 
的 Apresia 15000 系列 、Apresia 13200 系列 等 。 


表 4-9 各 公司 中 端 L3 交换 机 的 性 能 比较 


Cisco Systems 
Catalyst 4503 


Juniper Networks EX4500 


洱 囊 前 蔚 


7RU 


2RU 


6.5RU 


Cisco Systems 


江 马 将 举 过 省 部 否 震 冰 肖 靖 昔 歼 攻 


Catalyst 4503 Juniper Networks EX4500 

最 
六 
线 
2 N/A 4 
插 
槽 
数 
最 
大 
Ek 64Gbit/s 480Gbit/s 48Gbit/s 
容 
量 
最 
大 
2 (每 个 线 卡 可 用 最 大 1500W 的 最 大 364W 1100W 
消 
耗 
单 
台 
机 
框 
所 
支 
持 
的 | 96 48 192 
最 
大 
千 
兆 
端 
口 
数 

28 48 N/A 


Cisco Systems 
Catalyst 4503 


Juniper Networks EX4500 


低 端 L3 交换 机 


低 端 L3 交换 机 一 般 为 箱 式 交换 机 或 桌 


用 ，1RU 大 


\ 的 设备 支持 24 端口 或 48 端口 


还 能 直接 使 用 来 


3 


以 太 网 的 电源 供 


昌 (PoE) 


式 交 换 机 ， 作 为 企业 的 接 入 交换 机 (边缘 交换 机 ) 使 
话 或 无 线 LAN 的 访问 接 入 点 ， 


。 有 些 产品 作为 卫 电 
。 该 类 型 L3 交换 机 价格 约 几 万 


表 4-10 各 公司 低 端 L3 交换 机 产品 的 性 能 比较 


日 元 至 100 万 日 


Cisco Systems Catalyst 3750 
(WS-C3750G-48TS-E) 


Juniper Networks 
EX2200-48P-4G 


ALAXALA 
AX3630S. 


辣 关 过 是 洒 短 


405W (支持 PoE) 


检 

1RU 1RU 1RU 
高 
度 
最 
大 
中 32Gbit/s 104Gbit/s 96Gbit/s 
容 
量 

~ ph 
jw 91w (不 支持 PoE) ey 


Cisco Systems Catalyst 3750 
(wS-C3750G-48TS-E) 


Juniper Networks 
EX2200-48P-4G 


ALAXALA! 
AX3630S. 


48+4 


江 马 将 举 羽 寺 各 要 震 冰 渤 靖 昔 歼 攻 


48 48 


N/A 


洋 口 车 类 训 症 秃 束 壳 闪 澡 问 关东 二 


48 N/A 


es 


04.04 L3 交换 机 搭载 的 特殊 功能 
04.04.01 L3 交换 机 功能 的 分 类 


尽管 各 制造 三 商 的 L3 交换 机 产品 提供 了 的 功能 不 同 ， 但 这 些 功 能 大 致 可 以 分 为 如 表 4-11 所 示 的 


几 个 类 别 。 
表 4-11 L3 交换 机 的 功能 
全 区 |“ 考 功能 
认证 类 、 管 
应 用 层 a B |SNMP、RMON 、 syslog 、 DHCP 、NetFlow、FTP、IEEE 802.1X 等 
路 由 选择 协 | 静态 路 由 、RIPvl/v2、OSPF、BGPv4、IS-IS、 多 播 路 由 选择 、RIPng、OSPFv3、 
议 BGP4+、 基 于 策略 能 选择 等 
网 络 层 、 传 | Qos IEEE 802.1p、LLQ、WFQ、RED、Shaping、 带 宽 控 制 等 
输 层 Ss 
IP 隧 道 IPv4 over IPv6、IPv6 over IPv4 等 
其 他 过 滤 、 负 载 均衡 、VRRP 等 
数据 链 路 层 | vT AN 端口 VLAN 、IEEE802.1Q (tag VLAN) 、Protocol VLAN、 私 有 VLAN、Uplink-VLAN 
笠 
等 


| | STP | STP (IEEE 802.1D) 


~ RSTP (IEEE 802.1w) 


~ PVST+ ~ MSTP (IEEE 802.1s) 


竺 
= 


STP、SNMP、RMON、NetFlow 等 相关 内 
和 [eo] 


容 请 参考 本 书 02.08 节 ，QoS 相关 内 


容 请 


参考 03.06 


在 L3 交换 机 中 ， 只 有 使 用 这 些 功能 对 分 组 进行 的 管理 是 由 CPU (软件 ) 直接 处 理 的 。 用 户 之 间 
的 通信 均 如 图 4-13 所 示 ， 是 由 ASIC (硬件 ) 处 理 实现 分 组 的 高 速 转发 的 。 

种 类 L3 交 换 机 

ser ee tt MY 

OSPF (Open Shortest Path First) 

DVMRP (Distance Vector Multicast Routing Protocol) ASIC 一 < 二 

PIM (Personal Information Manager) < 
L3 交 换 机 

种 类 

单 播 转发 

多 播 转发 

过 滤 处 理 —~> 

A <ke> 二 2 本 

端口 镜像 
图 4-13 使 用 ASIC 完成 高 速 分 组 转发 
04.04.02 VLAN 

1 台 或 者 多 台 交 换 集线器 所 组 成 的 1 个 广播 域 可 以 称 为 是 一 个 扁平 网 络 (flat network) 。 该 网 

络 只 由 L2 组成， 相互 连接 的 硬件 会 接收 所 有 网 络 发 来 的 太 播 帧 。 因 此 ， 随 着 连接 硬件 数量 的 增 
加 ， 广 播 数量 也 会 增加 ， 网 络 状 况 也 就 越发 混杂 。 
这 种 情况 下 就 需要 采用 能 够 将 整个 遍 平 网 络 进 行 逻辑 分 段 的 VLAN (Virtual LAN) 技术 。 各 个 
VLAN 均 使 用 同 1 个 广播 域 ， 因 此 能 够 控制 该 域内 广播 通信 的 规模 。 (图 4-14) 
交换 机 通过 设置 (configuration) 能 够 轻易 更 改 物理 端口 的 属性 ， 使 该 物理 端口 附加 到 某 个 
VLAN 之 中 ， 因 此 当 连 接 交 换 机 的 用 户 终 端 出 发 生变 化 时 ， 也 无 需 更 改 所 对 应 的 物理 配 线 。 
VLAN 之 间 的 通信 需要 使 用 路 由 选择 ， 不 借助 路 由 器 就 无 法 与 不 同 VLAN 的 终端 进行 通信 ， 因 
此 安全 性 也 有 了 保障 。 
VLAN 在 1998 年 的 IEEE 802.1Q 中 完成 了 标准 化 。 
基于 端口 的 VLAN 
基于 端口 的 VLAN (Port VLAN) 是 指 在 1 台 交 换 机 上 完成 VLAN 构建 的 功能 
基于 端口 的 VLAN 是 在 交换 机 的 端口 上 设置 VLAN ID 信息 ， 将 拥有 相同 VLAN ID 的 多 个 端 
构成 一 个 VLAN。 符 合 IEEE 802.1Q 标准 的 交换 机 在 初始 状态 时 所 有 庙 默认 VLAN ID=1 ( 即 


， 但 


者 能 够 对 任意 一 个 端 


是 使 


VLAN 1) 
VLAN 2。 


进行 VLAN ID=2 的 设置 ， 从 而 使 该 端 


口 归属 


LAN 该 交换 机 内 有 该 交换 机 内 有 


该 交换 机 内 有 两 个 
广播 域 ( VLAN ) 


LANA 
图 4-14 LAN 与 VLAN 的 比较 
标签 VLAN (IEEE 802.1Q) 


当 需 要 跨越 多 个 交换 机 创建 VLAN 时 ， 一 般 会 用 到 使 用 中 继 端 口 (trunk port) 的 标签 VLAN 
(tag VLAN) 。 标 签 VLAN 通过 中 继 端 口 完 成 以 太 网 数据 帧 的 收发 ， 其 中 以 太 网 数据 帧 上 需 添 
加 4 字 节 IEEE 802.1Q 所 定义 的 首部 ( 即 VLAN 标签 信息 ) (图 4-15) 。 为 以 太 网 数据 帧 添加 
tagging 。 当 tagging 完成 后 ， 以 太 网 数据 帧 的 最 大 长 度 将 从 1518 字 节 变 为 1522 
， 因 为 其 中 还 包含 了 12bit 的 VLAN ID 信息 ， 因 此 最 多 可 以 支持 的 VLAN 数 也 达到 了 4096 


oo 


{ 没有 使 用 标签 hi - aa ) 
位 46 ~ 1500 


a Te 
2 型 


{ 和 802. | ) 


3bit 12 
= 被 添加 的 4 字 节 IEEE 802.1Q 首 
部 {VLAN 标签 信息 ) 
SFD，Start Frame Delimiter ( 帧 首 定 界 符 ) TPID: Tag Protocol Identifier ( 标签 协议 标识 ) 


TCL: Tag Control Information ( 标记 控制 信息 ) ”FCS，Frame Check Sequence { 帧 校 验 序列 ) 
图 4-15 使 用 标签 VLAN 时 的 以 太 网 数据 帧 格式 


在 以 太 网 中 ，TPID 的 值 为 0x8100。 如 果 发 送 源 地 址 后 面 的 值 不 是 0x8100， 那 么 该 域 则 不 表示 
TPID 信息 ， 而 是 作为 "长度 / 类 型 "数据 域 被 识别 。 顺 便 一 提 ， 当 “长 度 / 类 型 "数据 域 的 值 在 
0x05DC (10 进 制 数 为 1500) 以 下 时 ， 表 示 该 以 太 网 数据 帧 的 长 度 ; 在 0x0600 以 上 时 ， 则 表示 
该 以 太 网 数据 帧 的 类 型 。 表 示 以 太 网 数据 帧 类 型 的 值 分 别 是 :IPv4 为 0x0800，ARP 为 0x0806、 
IPv6 为 0x86DD 等 。 


o 


一 些 不 支持 IEEE 802.1Q 的 交换 机 由 于 无 法 识别 TPID， 会 将 0x8100 的 值 视 作 以 太 网 帧 类型， 但 
是 由 于 不 存在 0x8100 类 型 的 数据 帧 ， 因 此 交换 机 会 将 其 作为 错误 帧 直接 丢弃 。 


IEEE802.1Q 标准 中 定义 的 首部 还 存在 步 分 成 3 个 子 数 据 
域 ( 表 4-12) 。 
表 4-12 TCI 数据 域 的 组 成 要 素 8 
| 6 最 新 标准 已 将 该 域 修改 为 Drop Eligible Indicator (DED。 一 一 译 者 注 
名 称 说 明 
人 (Priority | 表示 在 IEEE 802.19 中 定义 的 数据 由 优先 级 ， 最 低级 别 为 0 (0b000) ， 最 高 级 别 为 7 (0b111) 
ode Point) 


CFI (Canonical 准 MAC 地 址 时 该 数据 域 的 值 为 0%， 非 标准 MAC 地 址 时 为 1。 在 以 太 网 中 ， 该 数据 域 的 值 多 为 
了 ormat Indicator) | 0， 而 在 连接 令 牌 环 网 络 的 交换 机 中 ， 也 有 该 数据 域 值 为 1 时 接收 数据 的 情况 


一 一 
oy 


VID (VLAN le 0 (0x000) 仅 用 于 识别 PCP 中 表示 的 优先 级 ，4 而 095 
Identifier) (0xFFF) 为 预 留 值 ， 户 可 用 的 数值 为 1 (0x001) ~4094 (0xFFE) ， 共 4094 个 


| ”最 新 标准 已 将 该 域 修改 为 Drop Eligible Indicator (DED。- 一 译 者 注 


VLAN 


接收 后 删除 VID 信 息 只 转发 VID 指 定 的 
VLAN 数 据 由 


在 VLAN 标 签 中 设置 
VID=20 后 进行 转发 中 继 链 路 


VID= \ 
| | 党 | 一 一 


VLAN10 


图 4-16 在 使 用 标签 VLAN 的 多 个 交换 机 之 间 进 行 转发 


VLAN1、 VLAN4 


VLAN2、VLAN3、VLAN4 


图 4-17 跨越 多 个 交换 机 的 VLAN 
本 征 VLAN 


VLAN 编号 为 1 的 VLAN 通常 被 称 为 本 征 VLAN (Native VLAN) 或 管理 员 VLAN， 一 般 用 于 
VLAN， 也 作为 初始 值 分 配给 交换 机 的 各 个 端口 。 本 征 VLAN 的 指定 或 变更 是 可 以 自 定义 
， 但 基本 所 有 厂商 的 交换 机 都 默认 使 用 VLAN ID 为 1 的 VLAN 作为 本 征 VLAN。 在 定义 新 
VLAN 时 如 果 设 定 VLAN ID=1， 则 有 可 能 会 发 生 同 预期 端口 无 法 通信 的 情况 ， 因 此 最 好 使 用 2 
以 上 的 数值 作为 新 建 VLAN 的 ID 。 


中 继 端 口 

使 用 标签 VLAN 向 其 他 交换 机 传递 VLAN 编号 时 ， 首 先 需要 设置 中 继 端 口 (trunk port) 。 中 继 
端口 也 被 称 为 "附带 标签 的 端口 ”， 能 够 属于 多 个 VLAN， 与 其 他 交换 机 进行 多 个 VLAN 的 数据 
帧 收发 通信 。 两 台 交 换 机 中 继 端 口 之 间 的 链 路 则 称 为 中 继 链 路 (trunk link) 。 


与 中 继 端 口 和 中 继 链 路 相对 应 的 还 有 接 入 端口 (access port) 和 接 入 链 路 (access link) 这 两 个 概 
念 。 接 入 端口 只 属于 1 个 VLAN， 接 入 链 路 也 仅 传 输 1 个 VLAN 数据 帧 (图 4-18) 。 


天 


环 滑 


使 用 接 入 链 路 在 交换 机 之 间 传 输 多 个 VLAN 数 据 的 方法 


VLAN10、20、30 


中 继 端 口 


图 4-18 ”中 继 端 口 和 中 继 链 路 
协议 VLAN 
参考 以 太 网 数据 帧 首部 的 数据 帧 类 型 ， 基 于 网 络 层 的 各 个 协议 来 定义 的 VLAN 称 为 协议 VLAN 


Protocol VLAN) 。 其 中 ， 数 据 帧 类 型 的 值 为 16bit，VLAN 能 够 识别 的 网 络 层 协议 有 IP、 
IPX、AppleTalk 等 。 


目前 ， 网 络 层 的 通信 基本 都 使 用 IP 协议 ， 因 此 协议 VLAN 变 得 没有 意义 ， 几 乎 已 不 再 使 用 了 。 


上 行 VLAN 


上 行 VLAN (Uplink VLAN) 是 由 ALAXALA 公司 的 交换 机 产品 提供 的 、 基 于 端口 VLAN 的 功 
能 之 一 (图 4-19) 。 


图 于 VLAN 的 端口 可 以 分 为 上 行 端口 和 与 终端 相连 的 下 行 端口 ， 上 行 端口 之 间或 上 行 端口 和 下 
行 端口 之 间 可 以 进行 通信 ， 但 下 行 端口 之 间 则 无 法 进行 通信 。 


ED 


贺 上 行 端口 加 下 行 端口 


人 ) 自 上 行 端口 的 广播 分 组 转发 至 所 有 端口 
@) 上 行 端口 和 下 行 端口 之 间 可 以 进行 通信 
3) 下 行 端口 之 间 无 法 进行 通信 


图 4-19 上 行 VLAN 的 分 组 流向 
私有 VLAN 


私有 VLAN (Private VLAN) 也 可 以 记 为 PVLAN， 是 指 在 VLAN 内 部 再 构建 一 层 VLAN 的 功能 
(图 4-20) ， 因 此 也 可 以 称 为 多 层 VLAN 。 


私有 VLAN 能 够 通过 进一步 分 割 广播 域 ( 子 网 ) ， 淹 减 VLAN 内 部 的 广 才 
的 安全 性 。 例 如 ， 在 酒店 、 公 寓 、 服 务 供应 商 等 场所 灵活 使 用 该 功能 ， 就 
与 终端 的 连接 ， 使 不 同 终端 之 间 无 法 相互 通信 。 


如 表 4-13 所 示 ， 私 有 VLAN 由 主 VLAN (Primary VLAN) 和 从 VLAN (Secondary VLAN) 组 
成 ,从 VLAN 与 1 个 主 VLAN 关联 。 


表 4-13 私有 VLAN 的 组 成 要 素 


组 成 要 素 说 明 
主 VLAN (Primary 
VLAN) 
从 VLAN “| 隔离 VLAN ”| 从 分 配给 隔离 VLAN 的 交换 机 端口 上 经 过 的 通信 流量 将 流向 主 VLAN， 而 从 VLAN 则 不 
(secondary | (Isolated 会 有 任何 流量 经 过 。 每 个 主 VLAN 可 以 指定 一 个 隔离 VLAN 


重信 流量 并 保障 通信 
多 控制 服务 器 或 网 天 


mb 
GC 二 7 
LT 


1 个 私有 VLAN 中 有 一 个 主 VLAN， 主 VLAN 是 从 VLAN 的 父辈 VLAN 


VLAN) VLAN) 
群体 YLAN 
(Community | 从 分 配给 群体 VLAN 的 交换 机 端口 上 经 过 的 通信 流量 会 同时 流向 主 VLAN 和 群体 VLAN 
VLAN) 


使 用 私有 VLAN 的 物理 端口 可 以 设置 成 表 4-14 中 的 任何 一 个 模式 。 
表 4-14 使 用 私有 VLAN 的 物理 端口 模式 


端口 模式 类 型 说 明 
人 合 模式 了 路 由 器 等 网 关 相连 接 的 交换 机 端口 (上行 端 口 使 用 的 模式 。 该 模式 下 的 端口 能 够 与 私有 
uo VLAN 时 的 任何 一 个 端口 互通 。 温 合 (promiscuous) 就 是 “通信 对 方 任意 ”的 意思 


主机 模式 (Host | 隔离 VLAN 或 群体 VLAN 的 端口 使 用 的 模式 。 该 模式 下 的 端口 只 能 与 同一 群体 VLAN 内 的 端口 或 
Mode) 混合 模式 端口 互通 


主机 模式 


eth1/1 


隔离 VLAN 


图 4-20 私有 VLAN 的 组 成 
静态 VLAN 和 动态 VLAN 
将 交换 机 的 端口 进行 VLAN 划分 的 过 程 称 为 “VLAN 成 员 划 分 ”。 


管理 员 通 过 输入 交换 机 命令 ， 将 一 个 交换 机 端口 固定 分 配给 某 个 VLAN， 这 种 VLAN 成 员 划 分 
方式 称 为 静态 VLAN 。 


与 之 相对 地 ， 根 据 与 端口 相连 的 个 人 计算 机 或 用 户 信息 自动 分 配 端口 至 某 个 VLAN 的 方式 则 称 
为 动态 VLAN 或 者 认证 VLAN。 具 体 而 言 ， 就 是 交换 机 根据 终端 的 MAC 地 址 来 分 配 (基于 
MAC 地 址 库 的 认证 ) ， 或 者 基于 IEEE 802.1X 的 认证 来 决定 该 端口 属于 何 种 VLAN。 而 且 在 动 
态 VLAN 中 ， 网 络 上 的 个 人 计算 机 无 论 与 哪 台 交换 机 相连 ， 都 能 固定 归属 于 同一 VLAN (图 4- 
21) 。 


有 些 厂 商 通 过 交换 机 内 部 的 数据 库 来 实现 基于 
实现 都 需要 使 用 RADIUS 服务 器 


\=| 


MAC 地 址 的 认证 ， 但 大 多 数 情 况 下 动态 VLAN 的 


由 


关于 IEEE 802.1X 认证 的 详细 内 容 请 参考 02.08 节 。 


认证 服务 器 ( RADIUS 服务 器 ) 


( 用 户 名 或 


Sa 
作 “分 配 到 的 
CC< viaN-ID 


认证 信息 


NS” NS。 9 当 认证 失败 时 ， 也 可 以 
认证 完成 认证 完成 “ 认证 中 未 认证 通过 设置 将 请 求 方 划分 


支持 “不 支持 ”支持 支持 AN 
S920 [2 (B02 802 NA 冯 


请 求 方 进行 受 限 的 VLAN 通 信 


认证 使 用 中 认证 完成 后 的 IEEE 802,1X 认 证 端口 ， 将 划分 至 特定 的 VLAN 中 

的 分 组 加) 认证 完成 后 的 基于 MAC 地 址 的 认证 端口 ， 将 划分 至 特定 的 VLAN 中 

《< 一 普通 分 组 (@) 正在 认证 的 IEEE 802.1X 认 证 端口 ， 只 能 与 RADIUS 服务 器 进行 认证 通信 
没有 通过 认证 的 、 基 于 MAC 地 址 的 认证 端口 ， 与 任何 一 个 端口 都 无 法 通信 

A 


= 


图 4-21 动态 VLAN 与 端口 认证 


VTP 与 ISL 


VTP (VLAN Trunking Protocol，VLAN 中 继 协 议 ， 是 思科 公司 的 独 有 协议 ， 在 拥有 大 量 | 
的 大 规模 网 络 中 ， 通 过 该 协议 各 交换 机 能 够 使 用 中 继 链 路 进行 VLAN 相关 信息 (VTP 通 


交互 ， 从 而 


告 ) 的 


自动 完成 网 络 内 部 交换 机 中 VLAN 的 创建 、 删 除 和 更 新 等 工作 。 不 过 ， 仍 然 需要 手 


动 设置 接 入 端 


的 VLAN 分 配 。 


另外 ， 思 科 公司 还 研发 了 独 有 的 VLAN 识别 标识 ISL，(Inter-Switch Link， 交 换 机 间 链 路 ) 。 该 


标识 使 用 与 


IEEE 802.1Q 中 的 VLAN 标签 不 同 的 帧 格式 进行 VLAN 通信 数据 的 交互 ， 


的 交换 机 产品 Catalyst 1900 就 仅 支 持 ISL 而 不 支持 IEEE 802.1Q。 


原 数据 由 FCS 


TYPE|USERISA |LEN | AAAA03| HSA BPDU | INDEX| RES 
(SNAP) 
4 


40bit 4 


图 4-22 ”ISL 数据 帧 


04.04.03 


VLAN 环境 中 的 数据 流向 


假设 现在 主机 A 要 和 属于 同一 VLAN 的 主机 了 通过 运行 ping 命令 通信 。 


思科 公司 


主机 A 的 用 户 在 命令 行 提示 符 处 输入 了 主机 FIP 地 址 或 主机 名 (域名 ) 的 ping 命令 ， 如 果 输 入 
的 是 主机 名 ， 则 需要 通过 DNS 进行 主机 名 解析 ， 然 后 才能 获取 主机 F 的 IP 地址 。 


由 于 主机 A 同 主机 了 位 于 同一 网 段 (相同 广播 域 )， 因 此 主机 A 需要 知道 主机 F 的 MAC 地 
址 ， 这 时 主机 A 会 向 主机 下 发 送 ARP 请 求 的 广播 。 


交换 机 1 接收 到 来 自主 机 A 的 ARP 请 求 消息 后 ， 在 MAC 地 址 表 中 记录 下 主机 A 的 信息 ， 由 于 
ARP 请 求 的 目的 地 MAC 地 址 为 广播 地 址 ， 因 此 交换 机 1 会 向 除 接 收 端口 之 外 的 所 有 端口 复制 该 
数据 帧 并 进行 扩散 (flooding) ， 但 在 VLAN 环境 下 ， 只 有 和 主机 A 同属 一 个 VLAN 的 端口 会 
被 扩散 到 。 
交换 机 2 接收 到 来 自主 机 A 的 ARP 请 求 后 ， 在 MAC 地 址 表 中 记录 下 主机 A 的 信息 。 之 后 与 交 
换 机 1 一样 ,交换机 2 也 会 向 除 接收 端口 之 外 的 、 所 有 同属 一 个 VLAN 的 端口 复制 该 数据 帧 并 
进行 扩散 (flooding) 。 


主机 了 接收 到 ARP 的 请 求 后 ， 向 主机 A 回复 ARP 的 响应 消息 。 这 时 交换 机 2 将 习 得 主机 FF 的 
MAC 地 址 信息 ， 因 为 之 前 已 经 从 ARP 请 求 中 习 得 了 主机 A 的 MAC 地 址 信息 ， 因 此 ARP 响应 
消息 将 ] 直接 转发 到 端 口 1 处 。 


交换 机 1 接受 ARP 响应 消息 后 ， 也 从 中 习 得 主机 F 的 MAC 地 址 ， 综 合 判断 所 有 习 得 的 信息 
将 MAC 地 址 信息 转发 至 交换 机 的 端口 1 处 。 


池 


I 


由 于 主机 A 已 经 知道 目的 地 的 MAC 地 址 ， 因 此 利用 该 地 址 信息 向 主机 下 发送 ICMP echo 消 
息 

04.04.04” VLAN 之 间 的 路 由 选择 

L2 交换 机 


在 L2 交换 机 上 设置 了 多 个 VLAN 后 ， 单 台 交 换 机 就 无 法 在 不 同 的 VLAN 之 间 转 发 以 太 网 数据 


帧 。 


当 需 要 在 多 个 VLAN 之 间 转 发 数据 时 ， 一 般 会 使 用 中 继 链 路 连接 路 由 器 ， 通 过 路 由 器 进行 
VLAN 之 间 的 路 由 选择 


VLAN 之 间 的 
路 由 选择 


一 一 人 > 
ss VLAN20 
L2 交 换 机 
PC1 PC2 


属于 VLAN10 属于 VLAN20 


图 4-23 L2 交换 机 上 VLAN 之 间 的 路 由 选择 


L3 交换 机 

L3 交换 机 能 够 在 交换 机 内 部 直接 完成 VLAN 之 间 的 路 由 选择 。 

UDLD 

UDLD (Uni-Directional Link Di es RFC5171 文档 公布 ， 是 思科 公司 开发 


的 L2 协议 ， 用 于 检测 在 发 送 (TX) 或 接收 (RX ) 数据 时 县 名 妆 下 的 单 向 让 中 故障 于 传输 
媒介 无 论 是 光纤 还 是 双 绞 线 ， 以 太 网 都 会 通过 搂 收 方 和 发 送 方 天边 的 物理 线 级 来 传输 数据 丸 此 
线 缆 发 生 茶 种 故障 造成 单 向 链 路 的 可 能 性 很 大 。 
一 旦 发 生 单 向 链 路 故障 ， 无 论 端口 是 否 处 于 已 连接 的 状态 ， 都 会 造成 通信 一 方 的 交换 机 只 能 发 送 
数据 而 不 能 接收 数据 ， 男 方 则 只 能 接收 数据 而 不 能 发 送 数据 的 状况 。 而 且 发 生 单 向 链 路 故障 
时 ， 生 成 树 也 无 法 正常 工作 ， 位 于 转发 线路 上 的 数据 帧 也 会 被 丢弃 。 


交换 机 上 UDLD 生效 的 端口 如 果 根 据 UDLD 检测 出 了 链 路 发 生 的 单 向 故障 ， 就 能 够 及 时 关闭 站 
， 修 正 网 络 上 的 不 良 运行 状态 。 


ss 


发 生 故 障 


图 4-24 单 向 链 路 发 生 故 障 的 概念 图 


第 5 章 ”防火墙 功能 与 防范 威胁 的 对 策 


a 的 历史 、 产 品类 型 、 功 能 等 ， 帮 助 读者 理解 安全 设备 性 能 的 考 
量 方 没 | 日 注意 事项 名 


另外 ， 本 章 还 会 介绍 TCP 连接 、UDP 等 传输 层 会 话 管理 ， 以 及 IPSec、 使 用 SSL 的 VPN 等 
相关 内 容 。 


05.01 防火墙 是 怎样 的 网 络 硬件 


20 世纪 90 年 代 ， 随 着 互联 网 的 普及 ， 出 现 了 路 由 器 访问 控制 列表 无 法 抵御 的 攻击 和 非法 访问 等 
一 系列 威胁 ， 因 此 出 现 了 针对 这 些 威胁 的 防范 策略 需求 。1992 年 OECD1 组 织 发 布 了 “信息 系统 
安全 指导 书 ”， 其 中 定义 了 为 构建 安全 网 络 体系 而 需要 遵循 的 CIA 基本 理念 。CIA 是 机 密 性 
eonidlentiality 、 完 整 性 (Integrity) 、 可 用 性 (Availability) 三 个 英文 单词 的 首 字母 组 合 ， 
这 三 个 方面 的 主要 威胁 及 其 对 策 如 表 5-1 所 示 。 


| 1 经 济 合作 与 发 展 组 织 ， 全 称 为 Organization for Economic Co-operation and Development 。 一 一 译 者 注 


表 5-1 CIA 的 内 容 


CIA 
对 策 使 用 的 技 | 对 策 实施 的 
各 | 威 有 的 和 类 | 六 奖 重 说 明 


CIA 定 : 
| atom 对 第 全 用 的 技 | 对 生 实 中 的 
机 
性 Ee Dy 淡 墙 
畜 和 > 讲 线 | 用 户 认证 、 加 | 多 代 首 ” | 信息 的 机 密 性 是 指 只 多 许 合法 用 户 访问 相关 信息 。 确 保 信息 的 
密 YEN DS。 | 机 密 性 即 保证 信息 不 被 泄露， 设立 防止 非法 访问 等 保护 对 策 
本 人 二 | 防火 墙 、 
到 | 等 改 冒充 | 数据 兴 证 、 电 [VpN 、 | 处 理 正确 信息 ， 保 证 信息 的 完整 和 确切 ， 防 上 信息 被 答 改 
但 | IDS/IPS 等 
可 、 一 A 、| 防 火 墙 、 带 ee ， 
二 各 | 过 滤 、 元 余 、| 罗 类 清 市 | 确保 合法 用 户 能 够 访问 授权 的 信息 。 需 要 重视 服务 器 或 网 络 硬 
用 [Dos 攻击 等 | 策略 剖 控 制 半 置 | 件 的 运 维 ， 名 免 系统 出 现 当 机 问 是 


防火 墙 硬件 作为 防范 装置 能 够 同时 实现 CIA 中 3 个 条 目的 相应 对 策 。 在 20 世纪 90 年 代 中 期 ， 
普通 企业 一 般 都 会 在 网 关 (LAN 与 互联 网 的 边界 ) 中 设置 防火 墙 。 


防火 墙 (Firewall) 是 指 为 了 防止 发 生火 灾 时 ， 火 势 蔓延 至 建筑 物 内 其 他 区 域 而 设置 的 、 由 防火 
材质 〈 主 要 是 石膏 板 ) 铸 成 的 墙 (图 5-1) 。 


IE 


防火 墙 


图 5-1 防火 墙 示意 图 


将 自 外 而 内 的 网 络 入 侵 行为 看 作 火灾 ， 那 么 防止 这 种 入 侵 的 对 策 即 可 称 为 防火 墙 。 在 网 络 结构 图 
中 经 常 也 使 用 “ 砖 墙 * 的 图 标 来 表示 防火 墙 (图 5-2) 。 


图 5-2 Windows 中 防火 墙 的 图 标 


图 5-3 


思科 公司 的 防火 墙 图 标 


业 的 Intranet) 


防火 墙 这 个 装置 原本 用 了 


4 络 ， 也 就 是 拥有 


多 
进行 的 二 ` 法 访 癌 (Hacking， 
击 跳板 等 行为 。 


部 网 络 向 互联 网 六 


05.02 防火墙 是 如 何 诞生 的 
的 防火 墙 是 作为 专用 


世 露 信息 


芭 
公司 的 IOS 软件 


日 过 滤 技 术 由 思科 公 


不 久之 后 ，DEC 公 局 


用 户 的 公共 网 络 对 内 部 网 络 ( 企 


中 要 人 为 ) 


但 最 初 的 防火 墙 册 


器 的 一 个 功能 


台 了 防火 墙 的 相关 研究 


二 


外 部 网 络 (互联 网 ) 和 内 部 


米 ， 才 能 完 训 对 互联 网 的 访 | 


从 1988 年 到 1990 年 ， 
信 的 功能 ( 称 为 screend) 
等 。 在 这 之 后 下 


慨 (Circuit Level 


， 但 现在 也 开始 需要 防范 从 内 


上 现在 1985 年 左右 ， 逆 


工作 。 当 时 DEC 公司 
网 络 (Intranet) 进行 i 接 、 
元 成 对 外 部 互联 网 的 访 | 问 。 AT&T 贝尔 实验 室 


岂可 


公司 萨 VAX 计 入 机 ， 内 部 网 络 用 


装置 不 仅 需 要 安 J 


还 添加 了 限制 非法 i 


银 的 观 络 服务 有 USENET en ~ FTP ~ Telnet 


型 防火 墙 属于 第 人 


DEC 公司 的 
DEC SEAL 


代 防 火 墙 即 分 组 过 滤 防 火 境 | 
为 1994 年 由 Check Point Software Technologies 公司 ? 开发 的 商 


FP 也 记录 了 一 些 类 似 于 
现在 的 状态 防火 墙 


(stateful 、 中 都 


防火 墙 原 本 常用 于 大 学 或 科研 机 构 ， 
External Access Link) 的 


(Screening 


技术 被 后 


上 一 家 以 色 列 公司 ， 成 立 


当时 Visas 仅仅 是 一 个 


Firewall-1。 一 一 译 者 注 


1996 年 ，Global 互联 网 
(kernel proxy architecture 的 防火 墙 。 第 二 稀 
产品 Cisco Centri Firewall6 


用 户 人 录 单纯 对 网 络 服 
也 称 为 代理 防火 墙 


入 呈 频 " 年 Ne ee 


保留 了 下 来 。 


日 在 1991 第 ， 


防火 墙 产品 。 
Visas 的 研发 工作 开始 


外 向 企业 销售 名 为 


1992 年 2 。Visas 也 成 


页 目 是 悦 南 加 州 大 学 的 Bob Braden 和 Annette DeSchon 发 起 的 。 一 一 译 者 注 


最 后 这 些 特性 被 以 色 列 的 Check Point 公司 


Software Group 公司 5 开始 研发 第 五 代 防火 墙 ， 


防火 墙 产 品 Firewall-1 的 原型 4 


年 ， 思科 公 可 发 售 ] 了 


。 Cisco Centri Firewall 是 在 windows NT 上 运行 的 办 


口 来 思科 公 可 的 


| 5 该 公司 于 1997 年 被 思科 


其 网 Software Group 公司 后 发 布 的 。 一 一 译 者 注 


防火 墙 设备 PIX Firewall 继承 (Cisco Centri Firewall 在 1998 和 年 


到 了 2000 年 左右 ， 随 着 宽带 网 络 的 普及 ， 越 来 越 多 的 企业 开始 使 用 VPN。 这 一 时 期 在 日 本 ， 有 


很 多 用 户 使 


防火 墙 通过 FTTH 或 ADSL 线路 、 以 PPPoE 的 形式 构 建站 点 到 站 点 (site to site) 


2004 年 ，U 


(Deep Inspection, 深度 检测 ) 、 反 病毒 、 反 垃圾 邮件 (anti-spam) 、URL 过 滤 等 功能 集成 在 


TM (Unified Threat Management， 统 一 威胁 管理 ) 产品 发 布 ， 是 一 款 将 IDP/IPS 


起 的 防火 墙 设 


设备 产品 。 


UTM 产品 包括 Juniper Networks 公司 的 SSG 系列 和 ISG 系列 、Fortinet 公司 7 的 FortiGate 系列 、 


Check Point 


7 和 Net Screen 公司 一 样 ， 由 知名 硅谷 华人 创业 者 谢 青 创办 。 一 一 译 者 注 


公司 的 UTM-1 系列 以 及 思科 公司 的 ASA 系列 等 。 


2007 年 ， Palo Alto Networks 公司 发 布 了 新 一 代 防 火 墙 (NGFW，Next Generation Firewall) ， 该 


防火 墙 不 再 基 


于 端口 而 是 基于 应 用 程序 来 执行 相关 的 安全 策略 。 新 一 代 防 火 墙 同样 配备 类 似 


UTM 的 基于 内 容 安全 的 功能 ， 协同 活动 目录 (Active Directory) 或 Web 认证 等 完成 用 户 识别 ， 


从 而 执 


非 基 于 IP 地 址 ， 而 是 基于 用 户 名 、 群 组 名 的 安全 策略 。 


表 5-2 中 列 


出 了 防火 墙 设备 与 安全 设备 的 发 展 历史 。 


表 5-2 防火 墙 设备 与 安全 设备 的 发 展 历史 


年 事件 
a Secure Computing 公 司 成 立 8 
1988 A 2 
: 思科 公司 的 IOS 8.3 开 始 支持 访问 控制 列表 
9 SonicWall 公 司 成 立 
1992 | OECD 制 定 “信息 系统 安全 指南 ” 
1993 0 
年 Check Point Software Technologies 公 司 成 立 
Network Translation 公 司 开 发 PIX 
1994 | 记述 了 私有 地 址 相关 内 容 的 RFC1597 发 布 
证 Check Point Software Technologies 公 司 开发 状态 检测 型 防火 墙 \Firewall-1) 
Check Point Software Technologies 公 司 发 布 VPN-1 产 品 
ISS (互联 网 Security Systems) 公司 成 立 ( IDS/IPS 设 备 产 品 ) 
1995 | 思科 公司 收购 Network Translation 公 司 、 发 布 Cisco PIX Firewall 产 品 
年 IPsec 版 本 1 以 RFC 文 档 (RFC1852 等 ) 形式 发 布 
1996 :ce 作 三 | 由 总 ee i 六 
< Watchguard technologies 公 司 成 立 (防火 墙 产 品 ) 
1997 ”| NetScreen Technologies 公 司 成 立 (防火 墙 产品 ) 也 
年 Nokia 公 司 发 布 安装 有 Check Point Software Technologies 公 司 VPN-1/FireWall-1 产 品 的 IP 系 列 安全 设备 Hi 。 


年 事件 
1998 、 a 名 > 
六 IPsec 版 本 2 以 RFC 文 档 (RFC2401 等 ) 形式 发 布 
OneSecure 公 司 成 立 (IDS/IPS 设 备 产品 ) 于 
TippingPoint 公 司 成 立 (IDS/IPS 设 备 产品 ) 3 
TLS 版 本 1.0 以 RFC 文 档 (RFC2246) 形式 发 布 
NetScreen Technologies 公 司 发 布 NetScreen-5、NetScreen-10、NetScreen-100 
1999 
年 
NetScreen NetScreen-5 
2000 “| Fortinet 公 司 成 立 (防火墙 /UTM 设 备 ) 
| Neoteris 公 司 成 立 (SSL-VPN 设 备 ) 到 
思科 公司 收购 Altiga Networks 公 司 、 发 布 VPN 3000 系 列 (IPsec-VPN 远 程 接 入 集中 设备 ) 产品 
OneSecure 公 司 发 布 IDP 设 备 (IPS 产 品 ) 
2002 ”| NetScreen Technologies 公 司 收购 OneSecure 公 司 
年 NetScreen Technologies 公 司 发 布 NetScreen-200、NetScreen-5000 系 列 产品 
Fortinet 公 司 发 布 FortiGate 系 列 产品 
0 NetScreen Technologies 公 司 收购 Neoteris 公 司 
2004 ”| Juniper Networks 公 司 收购 NetScreen Technologies 公 司 
年 业内 开始 使 用 UTM 这 一 术语 
Palo Alto Networks 公 司 成 立 
2005 | 思科 公司 发 布 适 配 性 安全 产品 ASA (Adaptive Security Appliance) 系列 
年 IPsec 版 本 3 以 RFC 文 档 (RFC4301 等 ) 形式 发 布 
3Com 公 司 收购 TippingPoint 公 司 
Cisco IOS 开始 支持 SSL VPN 功能 
2006 ”| Juniper Networks 公司 发 布 SSG 系列 产品 
年 Check Point Software Technologies 公司 发 布 UTM-1 系列 产品 
IBM 收购 ISS 公司 
2007 ”| Palo Alto Networks 公司 发 布 PA 系列 产品 
后 思科 公司 收购 电子 邮件 安全 公司 IronPort 
2008 pe i 
全 McAfee 公司 收购 Secure Computing 公司 
业内 开始 使 用 “新 一 代 防 火 墙 这 一 术语 
2009 ”| Juniper Networks 发 布 SRX 系列 产品 
任 


人 


Check Point Software Technologies 公司 收购 Nokia 公司 的 安全 设备 事业 部 \ 将 其 IP 系列 安全 产品 纳入 旗下 产 


品 线 


年 事件 


2010 Intel 公司 收购 McAfee 公司 


各 1 | Den 公司 收购 SonieWall 公司 


发， 在 2008 年 被 迈克 菲 公 司 收购 ， 而 迈克 菲 公 司 则 被 英特尔 收购 。 一 一 译 者 注 


| 
hh 


LE 
i 


8 该 公司 最 早 从 霍 尼 韦 尔 国际 公司 独立 


9 该 公司 中 文 名 称 为 沃 奇 卫士 。 一 一 译 者 注 


1 该 公司 由 知名 硅谷 华人 创业 者 谢 青 、 柯 岩 等 创办 。 一 一 译 者 注 


公司 既 有 手机 产品 线 也 有 网 络 硬件 产品 线 ， 甚 至 还 有 个 人 计算 机 产品 线 。 一 一 译 者 注 


1 当时 的 详 


了 2 该 公司 于 2002 年 被 NetScreen 收购 。 一 一 译 者 注 


该 公司 于 2005 年 被 3Com 收购 ， 后 3Com 又 于 2010 年 被 HP 收购 。 一 一 译 者 注 


05.03 ”防火 墙 如 何 分 类 


05.03.01 ”软件 型 防火 墙 


个 人 防火 墙 


于 监控 个 人 计算 机 与 外 部 网 络 之 间 的 通信 信息 ， 主 要 功能 如 
5-3 所 不 。 


在 Windows 操作 系统 中 集成 了 Windows 防火 墙 。 

一 般 拥 有 杀毒 软件 产品 的 厂商 会 以 综合 安全 软件 套件 的 形式 销售 个 人 防火 墙 ( 表 5-4) 。 
表 5-3 个 人 防火 墙 产品 的 功能 

确认 连接 请 求 。 [向 用 户 确认 是 否 阻 止 特定 的 连接 请 求 


志 ) ， 记 录 计 算 机 正常 连接 与 错误 连接 的 信息 。 这 些 记录 在 做 


根据 需要 生成 记录 (安全 
安全 日 志 故障 分 析 时 会 超 到 很 大 作 


反 病 毒 (病毒 对 策 ) | 阻止 接收 到 计算 机 病毒 和 娇 虫 通信 


反 间 渴 钦 件 全 课 对 | 阻止 接 收 到 来 自 于 以 犯罪 为 目的 的 间谍 软件 或 程序 的 通信 


个 人 信息 保护 功能 “| 设立 对 策 以 防止 个 人 信息 被 窃取 、 浏览 恶 意 网 站 以 及 钓鱼 诈骗 等 


表 5-4 主要 带 有 个 人 防火 墙 的 产品 


Virus Buster-Grand (面向 个 人 ) 


VAN 二 5 a 
趋势 科技 公司 (TRENDmicro) Virus Buster-Business Security (面向 企业 ) 
~ 二 Norton 360 
作 
赛 门 铁 克 公司 (Symantec) Norton 互联 网 Security 


、 二 Total Protection 
AN 
迈克 菲 公 司 (McAfee) 联网 Security 


卡巴 斯 基 公司 (Kaspersky) 互联 网 Security 


写 Windows 防火 藻 


Wirdovws 防火 墙 正在 帮助 保护 侯 的 电脑 


HE 的 从 生 全 LEP9 广 二 过 Internat 或 网 络 访问 您 的 计 符 


BN jo 
图 站 和 克 外 各 交 这 接 基 汗 等 机 除了 在 “例外 ”选项 卡 在 这 里 开启 防火 墙 


口 不 允许 例外 @) 


Ne 


久 口 关闭 (不 推荐 ) GE) 
eT fnaers 护林 仙人 革 机 更 守 有 交 


和 所 Windows 防火 芒 
第 规 | 例外 | 而 强 


re 


程序 和 报 务 E) 
名 称 
回 F 话 各 
口 XomeShare 
本 Web Browser 没有 勾 选 的 应 用 程序 在 与 外 部 
ee 通信 时 ， 会 被 Windows 防 火 
交 基础 类 应 用 程序 墙 拦截 
团 宽 带 所 号 客户 端 
回 网 络 娱乐 内 容 平台 


口 文件 和 打印 机 共享 
门 远 得 协助 “ 


添加 程序 人 E). .| | 添加 端口 @). 狗 印 区)， [LE 


加 让 ndows 防火 二 阻止 程序 时 通知 我 0 


交 许 例外 存在 秆 么 罗 辽 ? 


图 5-4 Windows 防火 墙 例外 选项 卡 的 设置 (windows XP) 


人 Windows 防火 培 


常规 | 例外 _| 高 级 
网 络 连 接 设 置 


外 ， 请 选择 连接 ， 然 后 单 击 “ 设 置 ” 


为 下 列 选 定 的 连接 自用 了 Windows i 要 为 每 个 连接 单独 添加 例 


1394 连接 
本 地 连接 
宽带 连接 


引 CEED TN 


回 宽带 连接 Wedia Center Y 


安全 有 日志 记录 


您 可 以 创建 用 于 疑难 解答 的 日 志文 件 。 


通过 Internet 控制 消息 协议 CcHP) ,网 络 上 的 计 
算 机 可 能 共享 浇注 和 杖 窟 信息 。 


默认 设置 


将 所 有 Windows ed ) 


要 
请 单 击 “还 原 为 默 


L 设置 外 


还 原 为 叶 认 值 E) 


Ce 


图 5-5 Windows 防火 墙 高 级 选项 卡 的 设置 (Windows XP) 
表 5-5 Windows 防火 墙 详细 选项 卡 的 设置 内 容 


设置 内 
容 


说 明 


@ 网 络 | 对 每 ne lb 
务 或 ICMP 等 。 这 里 的 网 络 服务 
置 包括 本 地 计算 机 为 作为 远程 上 


进 


行 访问 控制 配置 ， 配 置 


- 本科 
a 


时 ， 能 够 被 外 间 


是 指 本 地 计算 机 对 外 提 4 


内 容 包括 可 能 访问 本 地 计算 机 的 外 部 网 络 服 
FTP、Telnet、HTTP 等 服务 的 情况 ， 也 可 以 


访问 


的 各 


个 目标 应 用 程 


夺 


志 记 | 通过 设置 该 项 ，Windows 防 火 墙 全 
录 


E 够 记录 丢弃 的 分 组 


a 


以 及 连接 成 功 的 日 ; 


以 计算 机 为 上 


位 ， 设 置 是 否 允许 
@ICMP | ICMP 类 型 的 设置 。 在 < 网络 连接 配置 "中 


楼 收 ICMP 通 信 ， 


还 能 够 进行 Echo Request 接 收 以 及 Time Exceeded 发 送 等 


@ 默认 | 还 原 windows 防 火 墙 的 默认 设置 


， 也 可 以 对 每 


个 网 络 所 


进行 同样 的 设置 


设置 
网 关 型 防火 墙 
在 计算 机 网 络 的 网 关中 设置 类 似 防火 墙 设 备 的 功能 ， 从 而 对 网 络 中 通信 流量 进行 策略 控制 ， 这 种 
类 型 的 防火 墙 即 为 网 关 型 防火 墙 。 
网 关 型 防火 墙 分 为 两 类 ， 一 类 是 在 Windows、Linux 等 通用 操作 系统 上 安装 并 运行 FireWall-1 软 
件 的 软件 型 网 关 防 火 墙 ， 一 类 是 使 用 专用 设备 的 硬件 型 网 关 防 火 墙 。 


个 人 防火 


定 终端 设 


的 通信 流量 ， 并 在 它们 通 


当主 要 监控 所 有 到 达 个 人 计算 机 的 


通信 流量 ， 
过 网 关 时 实施 策略 控 


制 。 


表 5-6 个 人 防火 墙 与 网 关 型 防火 墙 的 主要 区 别 


而 网 关 型 防火 墙 则 需要 监控 来 


月 多 数 不 特 


个 人 防火 墙 网 关 型 防火 墙 
安装 位 置 户 的 个 人 计算 机 上 Windows 或 Linux 等 服务 器 上 
网 络 上 的 位 置 终端 处 网 关 处 
安全 监测 对 象 流入 终端 的 通信 流量 。 “| 流 经 网 关 的 所 有 通信 流量 
加 密 通 信 在 终端 上 解密 后 检查 “| 不 能 检查 (有 时 也 能 够 对 SSL 通 信 等 进行 解密 ) 
压缩 文件 检查 解压 后 检查 对 解压 方式 、 解 压 级 别 有 限制 
对 附带 口令 文件 的 检查 输入 口令 后 解压 检查 “| 不 能 检查 
05.03.02 ”硬件 型 防火 墙 
硬件 型 防火 墙 是 指 通 过 硬件 设备 实现 的 防火 墙 ， 外 形 同 路 由 器 形状 类 似 ， 但 网 络 接口 类 型 一 般 只 
支持 以 太 网 ， 包括 10/100/1000BASE-T 的 RJ-45 以 及 支持 干 兆 以 太 网 、 亡 兆 以 太 网 收发 器 的 接 
模块 〈 表 5-7 
表 5-7 主要 的 硬件 防火 墙 产品 
厂商 名 称 产品 名 称 照片 
思科 公司 ASA 系 列 
ASA5540 
er en 
Juniper 公 司 | SSG20 
SRX210 


厂商 名 称 产品 名 称 照片 


Power-1 系 列 
Check Point Software IP 安 全 设备 


Technologies 公 司 系列 


IP1285 


Palo Alto Networks 公 司 PA 系列 


PA-5050 


LA 一 
er = 


Fortinet 公 司 J 


FortiGate-300C 


05.04 ”防火 墙 技 术 类 型 


防火 墙 在 网 络 边界 判断 允许 进行 的 通信 和 不 被 允许 的 通信 ， 作 为 其 判断 依据 的 技术 类 型 按 表 5-8 
的 顺序 逐步 演进 。 


表 5-8 防火墙 技 术 类 型 的 演进 


年 代 说 明 


冉 准 冲洗 刻 生 忱 


属于 第 一 代 防 火 墙 技术 ， 在 尚 没有 防火 墙 设备 时 ， 路 由 器 实现 该 功能 

络 上 传送 的 IP 分 组 首部 以 及 TCP/UDP 分 组 首部 ， 获 取 发 送 源 的 IP 地 址 和 端口 号 ， 以 及 目的 地 的 
过 |1988 IP 地 址 和 端口 号 ， 并 将 这 些 信 息 作 为 过 滤 条 件 ， 决 定 是 否 将 该 分 组 转发 至 目的 地 网 络 

滤 年 需要 设置 访问 控制 列表 。 访 问 控制 列表 也 可 以 称 为 安全 策略 (简称 策略 ) 或 安全 规则 
| (简称 规 见 
型 有 关 安全 策略 的 详细 信息 请 参考 05.07 节 


陪 
、 
di 
轩 
访 


名 


民 


[a 


1989 | 属于 第 二 代 防 火 墙 技术 。 不 再 以 分 组 为 单位 进行 通信 过 滤 ， 而 是 由 网 络 中 既 存 的 网 关 防火墙 ， 特定 
年 “| 的 应 用 程序 会 话 


睡 米 习 


年 代 说 明 


几 准 阔 涟 总 六 可 


电 防火 墙 不 再 根据 IP 分 组 首部 和 TCP 分 组 首部 进行 过 滤 ， 而 是 在 传输 层 上 进行 连接 中 继 (第 四 层 代 

路 理 ) ， 具 体 通 过 SOCKS 协 议 实 现 

层 ”|1990 | 当 内 网 终端 连接 外 部 网 络 时 ， 将 会 针对 电路 层 网 关 建 立 TCP 连 接 ， 从 而 在 网 关 和 外 部 网 络 服务 器 之 间 
网 | 年 “| 建立 新 的 TCP 连 接 

关 通过 使 用 电路 层 网 关 ， 无 需 在 策略 中 设置 安全 认证 端口 信息 和 NAT， 即 可 从 拥有 私有 地 址 的 内 网 终端 
型 连接 至 外 部 网 络 

状 动态 分 组 过 滤 的 一 种 ， 通 过 检测 TCP 的 连接 状态 阻挡 来 路 不 明 的 分 组 ， 英 文 缩写 为 SPI。 使 用 状态 分 组 
态 “| 1993| 检 测 能 够 有 效 抵抗 下 面 这 些 类 型 的 攻击 

仿 ”| 企 ”|。 伪装 IP 地 址 或 者 端口 ， 发 送 附 带 TCP 的 RST 或 FIN 标 志 位 的 分 组 ， 随 意 中 止 正常 通信 的 攻击 

测 e 在 允许 通信 的 范围 内 发 送 附 带 TCP 的 ACK 标 志 位 的 分 组 ， 从 而 入 侵 内 部 网 络 

型 e 在 FTP 通 信 时 ， 无 论 是 否 建立 控制 连接 ， 都 会 创建 数据 连接 进而 入 侵 内 部 网 络 


不 仅 根据 端口 号 或 协议 号 识别 应 用 程序 ， 也 不 仅 根 所 地 址 识别 户 信息 ， 而 是 根据 上 述 所 有 信息 执 
新 行 安全 策略 来 进行 防御 。 例 如 ， 在 传统 的 防火 墙 中 会 记录 “人 允许 进行 10.1.1.1 的 IP 地 址 到 端口 80 的 通信 * 


| 这 一 安全 策略 ， 但 在 新 一 代 防 火 墙 中 可 能 还 会 补充 记录 “允许 名 为 yamada 的 账户 与 Facebook 进 行 通 
代 ”|2007| 信 ”的 内 容 
防 ”| 年 ”| 网 络 路 径 上 只 要 有 防火 墙 ， 就 会 存在 不 少 为 了 回避 防火 墙 、 查 找 开放 端口 而 开发 的 端口 扫描 程序 
火 类 应 用 程序 无 法 通过 基于 端口 的 防火 墙 防御 。 另 外 ，HTTP 或 者 HTTPS 使 用 的 80 或 者 443 端 公设 各 
墙 种 各 样 的 应 用 程序 使 用 。 综 上 所 述 ， 以 应 用 程序 为 单位 进行 通信 控制 非常 重要 ， 因 此 诞生 了 新 一 代 防 
火 墙 技术 
代理 服务 器 


代理 服务 器 是 应 用 网 关 型 防火 墙 的 一 种 。 
在 Linux 所 使 用 的 代理 服务 器 中 ， 有 一 款 叫 做 Squid 的 免费 软件 。 
代理 服务 器 的 硬件 设备 有 Blue Coat Systems 公司 开发 的 SG 系列 。 


另外 ， 还 有 一 些 应 用 了 代理 服务 器 功能 的 设备 产品 兼顾 了 网 关 型 防毒 功能 和 URL 过 滤 功 能 等 
(如 趋势 科技 公司 的 IWSM 、Digital Art 公司 的 D-SPA 系列 等 ) 。 

什么 是 代理 

例如 ，HTTP 代理 对 应 的 网 关 在 从 用 户 (客户 端 ) 处 收 到 HTTP 通信 请 求 后 ， 自 身 将 代替 客户 端 


向 HTTP 服务 器 发 送 HTTP 通信 请 求 。 从 客户 端的 角度 来 看 ， 网 关 即 其 通信 终端 。 l 此 ， 在 客户 


端 与 网 关 ， 网 关 与 HTTP 服务 器 之 间 分 别 生成 两 个 会 话 (如 图 5-6 所 示 ) 。 如 果 像 这 样 网 关 成 为 
客户 端的 代理 ， 由 代理 和 真正 的 服务 器 之 间 进 行 通信 的 话 ， 就 会 实现 以 下 情况 。 


”从 客户 端 收 到 的 请求 或 从 服务 器 端 得 到 的 响应 会 在 应 用 层 进 行 检查 ， 如 采 发 生 异 常 则 放弃 通 
信 或 者 发 送出 错 信 息 


" 由 于 网 关 是 会 话 的 起 点 ， 因 此 可 以 对 互联 网 上 的 外 部 服务 器 隐藏 客 户 端的 IP 地址。 


e 经 由 代理 服务 器 的 情况 TCP 连接 


客户 端 PC 除了 应 用 网 关 型 之 外 的 防火 墙 


图 5-6 代理 〈 应 用 层 网 关 ) 和 其 他 硬件 的 不 同 


3 

发 送 源 ”目的 地 ”发 送 源 目的 地 
IP 地 址 。 IP 地 址 ”端口 号 端口 号 
| io11252 | 10115 | 23456 | 80 | 
Web 服务 器 从 代理 服务 器 处 接收 到 HTTP 
请 求 并 进行 处 理 ， 而 来 自 PC 客户 端的 
L3、L4 首部 信息 并 不 到 达 Web 服务 器 


发 送 源 ”目的 地 发 送 源 目的 地 
IP 地 址 ”IP 地 址 端口 号 端口 号 
[192.168.1.5 [192.168.1.252 | 12345 | 8080 | 


客户 端 PC 向 代理 服务 器 发 送 目的 地 端口 
为 8080 的 HTTP 请 求 


Web 服务 器 


习 代理 服务 器 向 端口 为 80 的 Web 服务 器 转发 客户 
端 PC 的 HTTP 请 求 
图 5-7 经 由 代理 路 径 的 分 组 的 变化 


分 组 过 滤 型 的 防火 墙 以 所 有 使 用 IP 或 TCP/UDP 的 通信 为 对 象 ， 判 断 是 否 人 允许 通信 。 而 应 用 网 关 
型 的 防火 墙 仅 以 通过 网 关 的 应 用 程序 为 对 象 ， 具 体 而 言 就 是 将 FTP、HTTP、Telnet、DNS 等 作 
为 处 理 对 象 的 应 用 程序 来 进行 判断 。 


与 在 传输 层 进行 数据 检查 的 分 组 过 滤 型 不 同 ， 应 用 网 关 型 防火 墙 在 应 用 层 进行 数据 检查 ， 因 此 处 
蛙 速 度 相对 较 慢 


05.05 ”什么 是 防火 墙 的 网 络 接口 模式 


防火 墙 功能 设备 网 络 接口 模式 的 种 类 如 表 5-9 所 示 。 有 些 功 能 设备 在 一 个 机 框 内 能 组 合 出 多 种 模 
式 ， 但 是 只 能 使 用 其 中 的 一 种 接口 模式 。L1~L3 模式 如 图 5-8 所 示 ， 是 将 需要 防火 墙 控 制 的 链 路 
进行 “ 捉 行 ” 连 接 ， 这 样 的 拓扑 结 名称 为 内 联 (inline) 连接 ， 英 语 为 on-a-stick， 所 以 防火 墙 的 “ 串 
行 * 也 称 为 Firewall-on-a-stick， 如 果 是 路 由 器 的 “ 串 行 ? 则 称 为 Router-on-a-stick 。 


TAPH 模式 正如 图 5-9 所 示 ， 该 模式 仅 有 一 条 来 自 交 换 机 的 链 路 构成 ， 这 样 的 链 路 组 成 结构 也 称 
为 单 辟 (one-arm 或 者 one-armed) 拓扑 。 


客户 端 PC 


Ne 


| 到 这 里 的 TAP 是 指 能 够 提供 一 种 方式 访问 在 计算 机 网 络 之 间 流动 的 数据 的 装置 。 一 一 译 者 注 


表 5-9 网 络 接口 模式 的 种 


上 
模 说 明 


也 称 为 NAT 模 式 ， 是 与 路 由 器 接口 一 样 拥有 IP 地 址 的 接口 。 在 进行 路 由 选择 、NAT 以 及 连接 IPSec-VPN 或 
术 SSL-VPN 时 ， 必 须 使 用 L3 模 式 的 接 

”| 可 以 通过 网 络 管理 人 员 输 入 静态 配置 IP 地 址 ， 也 可 以 通过 PPPoE、DHCP 客 户 端 动态 分 配 来 获取 接口 的 IP 地 
引 。 在 L3 模 式 下 进行 路 由 时 ， 需 要 使 用 虚拟 路 由 器 


I | 也 称 为 透 传 模式 或 者 透明 模式 (L2 透 明 模式 ) ， 是 与 交换 机 接口 一 样 拥有 同样 MAC 地 址 、 可 进行 桥接 的 接 
。 进 行 IP 地 址 分 配 时 需要 使 用 VLAN 


Ll | 也 称 为 虚拟 线 缆 模式 。 把 两 对 儿 网 络 接口 组 成 一 组 ， 流 量 在 其 中 一 方 的 接口 上 输入 并 在 另 一 块 接口 处 输出 。 
式 “| 该 模式 下 无 法 进行 路 由 和 桥接 


模 与 交换 机 镜像 端口 SPAN 端口 ) 相连 接 的 模式 。 通 过 对 交换 机 转发 的 数据 帧 进行 复制 并 收集 ， 可 以 将 通信 
闪 “| 内 容 可 视 化 并 检测 恶意 软件 。 由 于 不 是 内 联结 构 ， 因 此 该 模式 无 法 阻止 那些 没有 必要 的 通信 过 程 


aNle 


Sr J 


图 5-8 ”内 联 模式 的 结构 (由 LUL2/L3 模式 引入 ) 


图 5-9 TAP 模式 的 机 构 


其 他 接口 
与 路 由 器 和 交换 机 一 样 ， 部 分 防火 墙 同样 可 以 设置 


(IEEE 802.3ad) 等 (参考 表 3-12) 


05.06 ”防火 墙 能 够 预防 的 威胁 
表 5-10 罗列 了 防火 墙 能 够 防范 的 威胁 。 
表 5-10 防火 墙 能 够 防范 的 威胁 


回环 接口 、VLAN 接口 


( 子 接口 ) 和 汇 诊 接口 


威胁 
种 类 


通过 窃听 网 络 数据 获取 信用 卡 卡号 、 
码 等 重要 信息 


密 


“邮件 等 通信 内 容 恶 意 修 


将 网 站 主页 
改 


破坏 


通过 计算 机 ; 


府 毒 或 DoS 攻击 等 破坏 系 


统 的 正 x EL ih 、 
ee 发 送 广 C2 县 接收 方 
呈 ， 届 
发 送 广 有 有 接收 方 
时 加 
冒充 | 冒充 他 人 接收 邮件 、 对 通信 对 方 实施 
钓鱼 、 诈 骗 等 行为 Ss 
恶意 方 
发 送 广 接收 方 
信息 | 个 人 计算 机 或 服务 器 上 重要 的 个 人 信 4 
泄露 | 息 或 文档 泄露 、 2 
i 
攻击 | 作为 病毒 部 署 或 Dos 攻击 的 跳板 (中 
跳板 | 继 处 ) 
er 
邮件 | 以 营利 为 目的 发 送 六 量 邮 件 
威胁 安全 的 人 


安全 威胁 一 般 分 为 人 为 


素 。 表 5-11 列 出 了 安全 威胁 人 ( 攻 
表 5-11 安全 威胁 人 (攻击 者 ) 的 几 个 类 型 


因素 和 非 人 为 


因素 ( 


然 灾 害 等 ) ， 防 火 墙 面临 的 威胁 一 般 来 


# 者 ) 的 几 个 类 型 。 


于 人 为 


名 称 


说 明 


名 称 说 明 

黑客 经 常会 听 到 “被 黑客 入 侵 了 ”的 说 法 ， 但 实际 上 黑客 是 指 那 些 对 计算 机 技术 了 如 指 掌 的 人 ， 而 并 非特 
(hacker) 指 网 络 攻击 者 
配角 者 ”| 对 网 络 进行 非法 访问 、 窃 听信 息 、 移 改 等 行为 的 人 
， 以 造成 系统 当 机 为 目的 、 对 系统 施展 Dos 等 攻击 的 人 
妨碍 者 发 送 大 量 垃圾 邮件 、 在 BBS 中 粘贴 大 量 广告 、 散 布 以 诽谤 为 目的 的 言论 或 发 布 大 量 无 意义 信息 的 人 
普通 用 户 “| 尽管 不 会 有 主动 的 攻击 行为 ， 但 普通 用 户 会 在 不 知情 的 情况 下 使 用 了 被 病毒 、 蠕 虫 等 感染 的 个 人 计 
中 算 机 ， 从 而 成 为 威胁 网 络 安全 的 对 象 
午 户 (bol) ”| 作为 攻击 跳板 的 终端 ， 经 常 被 植 入 带 有 攻击 程序 的 病毒 ， 遭 受 感染 的 终端 称 为 僵尸 *， 由 大 量 僵 忆 
时 程序 组 成 的 网 络 则 称 为 < 僵尸 网 络 > 

05.07 防火墙 中 搭载 的 各 种 功能 

05.07.01 “会话 管理 

会 话 与 数据 流 

会 话 (session) 是 指 两 个 系统 之 间 通 信 的 逻辑 连接 从 开始 到 结束 的 过 程 。 

生 TCP 中 某 个 服务 器 与 客户 端 成 对 进行 通信 和 时 ， 会 会 完成 3 次 握手 来 确认 建立 1 个 TCP 连接 ,在 

从 连接 建立 始 至 连接 结 束 的 时 间 里 ， 客 户 端 发 送 请 求 (request) 和 服务 器 进行 应 答 

(response) 这 一 交互 过 程 即 可 称 为 进行 了 1 个 会 话 。 


在 UDP 中 ， 客 户 端 与 服务 器 之 间 只 要 发 送 源 的 端口 和 目的 地 端口 的 配对 一 致 ， 随 后 的 一 系列 通 
信 均 可 以 称 为 会 话 。 

在 ICMP 中 ， 例 如 Echo 和 对 应 的 Echo reply 的 组 合 就 可 以 称 为 会 话 。 

一 个 会 话 存在 “客户 端 ~ 服 务 器 ”(c2s 或 client to server) 和 “服务 器 ~ 客户 端 ”(s2c 或 server to 
client) 两 个 数据 流 (flow) 。 数 据 流 是 指 发 往 通 信 对 方 的 多 个 分 组 序列 。 


客户 端 服务 器 
SYN 
SYN+ACK 
ACK 
HTTP request 1 个 会 话 
HTTP reply 
FIN 
FIN+ACK 


发 送 源 地 址 :1.1.1.1 
目的 地 址 ，2.2.2.2 
发 送 源 端口 : 11111 
目的 地 端口 ，80 


c2s ( client to server ) 的 数据 流 


图 5-10 展示 了 HTTP 通信 中 的 数据 流 和 会 话 示例 


A 
/| 


发 送 源 地 址 ，2.2.2.2 
目的 地 址 : 1.1.1.1 

发 送 源 端口 : 80 
目的 地 端口 : 11111 


| 
J 


s2c ( server to client ) 的 数据 流 


TCP 连接 管理 

一 个 TCP 的 连接 需要 通过 3 次 握手 来 确认 建立 。 

最 初 由 客户 端 发 送 SYN 消息 ， 即 发 送 首部 中 SYN 比特 信息 设置 为 “1 的 TCP 数据 段 。 SYN 读 作 
入 sin/， 表 示 同 步 的 意思 ， 取 自 Synchronization 这 个 单词 的 前 三 个 字母 。SYN 相当 于 一 个 开始 信 
号 ， 与 打 电 话 时 先 拨号 码 的 行为 类 似 。 

0 来 自 客户 端的 SYN 消息 后 ， 将 返回 表示 确认 的 ACK 消 筷 时， 同时 也 会 发 送 一 个 
SYN 消息 至 客户 端 。ACK 表示 确认 的 意思 ， 取 自 Acknowledgement 这 个 单词 的 前 三 个 字母 。 
TCP 连接 使 用 端口 号 表示 不 同 的 网 络 服 务 (应 用 程序 。 例 如 ，HTTP 使 用 80 号 端口 ，TELNET 
使 用 23 号 端口 。 提 供 HTTP 服务 的 服务 器 必须 接收 和 人 处理 客 户 端 发 送 至 80 号 端口 的 TCP 数据 
段 。 能 够 处 理 分 组 的 状态 一 般 表示 为 listen 状态 (listen 意 为 “ 侦 听 ”， 也 称 为 listening) 。 


建立 TCP 连 接 /数据 传输 /结束 步骤 
客户 端 服务 器 


SYN+ACK 的 Ack 编 


SYN ( Seq=100,Ack=0 ) 


cLoseDg 号 为 SYN 的 Seq 纺 
sesgir ME +1, Se9 纺 号 由 
: 客户 端 随机 生成 
连接 建立 步骤 SYN+ACK ( Seq=200,Ack=101 7 
SYN_RCVD 
ESTABLISHED ACK ( Seq=101,Ack=201 ) 
PSH+ 数 据 ( 5byte ) ESTABLISHED 
( Seq=101,Ack=201 ) 
Ack 编 号 为 Seq 编 号 + 
1 之 的 | 
附带 ACK 信 息 以。 Ack+ psh ; 雪 ' Soyee) 8 数据 的 字 节 教 
eq=201,Ack=1 
数据 传输 时 保持 人 
数据 传输 步骤 ”ESTABLISHED ACK+PSH+ 数 据 ( 5byte ) | 状态 
状态 ” (Seq=106,Ack=265 ) 


Ack 编 号 为 Seq 编 号 + 
数据 的 字 节 数 ACK+PSH+ 数 据 ( 64byte ) 

( Seq=265,Ack=111 ) | FIN+ACK 的 Ack 编 号 为 
FIN 的 Seq 编 号 +1 


ESTABLISHED 


V ESTABLISHED 
FIN_WAIT1(B 


FIN 
( Seq=111,Ack=329 ) gS 
FIN+A g CLOSE_WAIT 


CK 
( Seq=329,Ack=112 ) 
连接 终止 步骤 FIN_WAIT2 LAST_ACK 


ACK ( Seq=112,Ack=330 ) 
TIME_WAIT 
| ACK 的 Ack 编 号 为 FIN+ 
CLOSE ACK 的 Seq 编 号 +1 
4 
(sg 1~4 分 钟 ) 内 ， 相同 端 口 之 间 无 法 连接 
图 5-11 TCP 的 3 次 握手 
1. 客户 端 发 送 SYN 标志 位 设置 为 On 的 TCP 数据 段 。 


2. 服务 器 接收 到 带 有 SYN 标志 位 的 消息 后 ， 将 SYN 与 ACK 的 标志 位 设置 为 On， 并 设置 Ack 
编号 为 “发 送 方 的 Seq+1” 后 进行 回复 。 


3. 客户 端 将 ACK 标志 位 设置 为 On， 将 Ack 编号 设置 为 “接收 的 Seq 编号 +1” 的 TCP 数据 段 发 送 
回 服务 器 ， 确 认 建 立 TCP 连接 。 

TCP 中 用 序列 号 (sequence) 来 表示 应 用 程序 数据 发 送 至 何 处 ，TCP 连接 所 使 用 的 初始 序列 在 3 
次 握手 的 过 程 中 确 时 。 


序列 号 分 为 两 类 ， 一 类 用 于 从 客户 端 发 往 服务 器 端 (c2s) 的 上 行 TCP 数据 段 ， 另 一 类 用 于 从 服 
务 器 端 发 往 客 户 端 (s2c) 的 下 行 TCP 数据 段 。 上 行 和 下 行 两 种 数据 流 在 建立 时 ， 各 自 使 用 不 同 
的 随机 数 作为 初始 序列 号 ISN (Initial Sequence Number) 。 


a SYN 检查 
TCP 会 话 开 始 时 客户 端 必 会 发 送 一 个 SYN 消息 。 如 果 是 没有 附带 会 话 信息 (或 尚未 建立 会 
话 ) ， 即 非 SYN 消息 的 TCP 数据 段 到 达 防 火 墙 ， 防火 增 就 会 将 其 视 作 非 法 而 整个 云 弃 。 但 


也 可 以 根据 不 同 的 情形 ( 双 活 见 余 或 会 话 超时 等 ) 关闭 (OFF) 防火 墙 的 这 个 功能 ， 使 不 带 
有 会 话 信息 的 、 非 SYN 消息 的 TCP 数据 段 也 能 够 通过 防火 墙 。 


sn ACK 检查 


CLOSED 


-27) 信息 防范 SYN Flood 攻击 时 ， 通 过 对 SYN-ACK 的 ACK 


在 根据 SYN Cookie ( 参 考 表 5 
消息 进行 检查 ， 能 够 确认 进行 中 的 3 次 握手 是 否 为 非法 尝试 。 


同一 数据 段 检查 

终端 再 次 发 送 TCP 数据 段 时 ， 对 于 和 之 前 收 到 的 TCP 数据 段 含 有 相同 序列 号 或 数据 的 TCP 

0 可 以 指定 防火 墙 的 处 理 方式 ， 即 指定 是 使 用 新 接收 到 的 重复 数据 段 还 是 丢弃 该 重复 
0 

窗口 检查 


查 TCP 首部 内 的 序列 号 和 滑动 窗口 大 小 《Window Size) ， 拦 截 超过 滑动 窗口 容量 数据 的 
序列 号 。 


数据 段 重组 


即使 各 数据 段 的 顺序 出 现 变化 ，TCP 数据 段 也 能 根据 序列 号 调整 为 正确 顺序 。 在 防火 墙 进行 
这 一 工作 ， 可 以 验证 TCP 数据 段 序列 号 是 否 完整 。 


会 话 建立 的 处 理 
防火 墙 按照 以 下 步骤 处 理 从 网 络 接口 接收 到 的 分 组 ， 从 而 完成 会 话 建 立 。 
1. 检索 会 话 表 ， 确 认 表 内 是 否 存在 相同 会 话 ( 若 存在 相同 会 话 ， 则 禁止 会 话 建立 的 后 续 流 程 ) 。 


2. 若 不 存在 相同 会 话 ， _ 则 检查 该 分 组 是 否 可 以 通过 工 3 路 由 选择 或 工 2 转发 来 答 出 。 如 采 可 以 输 
出 ， 确 定 对 应 的 网 络 输出 接口 和 目的 地 区 域 ( 若 不 能 输出 ， 则 丢弃 该 分 组 ，。 


的 地 址 需要 进行 NAT 则 先 完成 NAT， 确 定 NAT 后 的 网 络 输出 接口 和 目的 


区 


4 根据 分 组 的 发 送 源 信息 发送 源 网 络 接 、 发 送 源 区 域 和 发 送 源 地 址 ) 以 及 经 过 CD、 步骤 后 
得 到 的 目的 地 信息 (目的 地 网 络 接 的 地 区 域 、 目 的 地 址 ) 进行 安全 策略 检查 ， 发 现 有 符合 
的 安全 策略 时 ， 则 根据 该 策略 允许 通信 或 拒绝 通信 决定 是 继续 转发 还 是 丢弃 分 组 。 如 采 没 有 
符合 的 安全 策略 ， 则 根据 “默认 拒绝 ”的 设 定 丢 弃 该 分 组 。 

5. 当 分 组 被 允许 通信 时 ， 会 话 表 中 就 会 生成 该 会 话 的 相关 信息 。 


会 话 的 生存 时 间 


会 话 表 中 记录 的 会 话 信息 有 一 定 的 生存 时 间 。 会 话 建立 后 ， 如 果 在 定时 间 内 处 于 无 通信 状 
态 ， 防 火 墙 将 会 判断 该 会 话 的 生存 时 间 已 到 ， 进 而 将 该 会 话 记 录 项 从 会 话 表 内 删除 。 如 果 无 条 件 
地 任 会 话 记录 留 在 会 话 表 中 ， 这 些 会 话 信 息 则 很 有 可 能 会 被 用 于 型 音 攻 市 等 行为 。 另外 于 
会 话 表 的 记录 项 在 数量 上 也 有 一 定 的 限制 ， 因 此 长 期 保留 会 话 记录 也 会 导致 资源 的 长 期 占用 ， 从 
而 影响 新 会 话 记 录 的 生成 。 

会 话 时 间 能 够 根据 TCP、UDP 或 其 他 IP 协议 的 不 同 分 别 进行 设置 。 

对 于 TCP 而 言 ， 会 话 的 超时 时 间 一 般 为 30 分 钟 ~1 小 时 ，UDP 则 为 30 秒 左 右 。 例 如 ， 某 Telnet 
会 话 通 过 防火 墙 完成 了 连接 ， 若 在 1 个 小 时 内 没有 进行 任何 通信 ， 防 火 墙 会 自动 将 该 会 话 记录 从 
会 话 表 中 删除 a 客户 端 想 要 继续 该 Telnet 会 话 时 ， 也 会 被 防火 墙 拒绝 (图 5-12) ， 因 此 客 


户 端 需 而 弛 要 重新 建立 Telnet 会 话 。 会 话 生 存 时 间 的 调整 可 口 | | 以 参考 本 书 07.04 节 史 


客户 端 防火 墙 服务 器 


3 cn 会 话 信息 在 
SYN+ACK ”这 里 生成 


ACK 
Telnet 

命令 Telnet 响 应 

1 小 时 内 没有 进行 任何 通信 

Tenetl 下 会 话 消息 在 这 里 删除 

命令 sa 示 人 

Te 丢弃 非 SYN 消 息 的 TCP 数 据 段 

SAN pe er 生生 全 和 生 八仙 和 人 必须 重新 完成 3 次 握 

ACK SYN+ACK 。， 手 过 程 以 便 再 次 建立 
TeIREt Telnet 会 话 

命令 


图 5-12 会 话 生存 时 间 与 超时 的 概念 图 

会 话 终 止 处 理 

TCP 连接 一 般 通 过 下 面 的 步骤 终止 会 话 。 

1. 客户 端 在 完成 收发 数据 后 ， 会 发 送 FIN 标志 位 设置 为 On 的 TCP 数据 段 (FIN) 。 


2. 服务 器 接收 到 FIN 消息 后 ， 会 在 回复 消息 中 将 FIN 与 ACK 标志 位 设置 为 On， 并 将 Ack 编号 
设置 为 “接收 的 Seq 编号 +1”。 


3. 客户 端 同样 在 回复 的 TCP 消息 中 将 ACK 标志 位 设 为 On， 将 Ack 编号 设置 为 接收 的 Seq 编号 
+1”， 连 接 就 此 结束 。 


4. 这 时 ， 客 户 端 会 进入 TIME_WAIT 的 TCP 状态 。 一 定时 间 后 本 次 连接 所 使 用 的 TCP 端口 号 
(来 自 客户 端的 通信 发 送 源 端 口号 ) 将 会 禁用 。 这 一 时 间 段 称 为 2MSL (Maximum Segment 
Lifetime，MSL 的 2 倍 ) ， 根据 实现 的 不 同 ， 大 约 在 1 分钟 到 几 分 钟 之 间 不 等 。 


如 果 客 户 端 或 服务 器 在 确认 连接 建立 时 发 生 了 故障 ， 那 么 将 只 有 能 够 通信 的 一 方 进入 侦 听 状态 ， 
这 种 情形 称 为 半 侦 听 或 是 半 关 闭 。 如 果 这 时 通信 的 故障 方 从 故障 中 恢复 ， 并 接收 到 故障 前 交互 的 
TCP 数据 段 ， 便 会 向 通信 对 方 回复 一 条 TCP 响应 数据 段 ， 该 数据 段 中 RST 标志 位 设 为 ON， 通 

过 这 条 响应 消息 强制 终止 TCP 连接 。 


终止 连接 有 时 会 通过 FIN 和 RST 两 个 标志 位 来 完成 ， 不 过 当 防 火 墙 接收 到 来 自 通信 方 的 FIN 或 
RST 时 ， 还 可 以 启动 另 一 个 30 秒 左 右 的 定时 器 。 如 果 在 该 时 间 段 内 FIN -~ FIN-ACK ~ ACK 的 
终止 过 程 仍 未 完成 ， 防 火 墙 中 的 会 话 表 项 会 被 强制 删除 (图 5-13) 。 


2 


客户 端 防火 墙 服务 器 
根据 SYN 信 息 生成 会 话 信息 


SYN 


5 秒 内 如 果 仍 未 完成 3 次 握 
手 结束 则 删除 会 话 信息 


SYN+ACK 


FIN 


没有 收 到 FIN+ACK 消 息 则 删 
除 会 话 信息 


FIN+ACK 


| 收 到 FIN 消 息 后 的 30 秒 内 如 果 


图 5-13 在 接收 SYN、FIN 消息 时 强制 删除 会 话 信息 的 时 机 
表 5-12 与 会 话 相 关 的 定时 器 种 类 (以 Palo Alto Network 公司 的 PA 系列 产品 为 例 ) 


与 会 话 相关 的 定时 器 种 类 默认 值 
TCP : 3600 秒 
A UDP : 30 秒 
会 话 生 存 时 间 IP : 30 秒 
ICMP : 6 秒 
接收 SYN 后 到 3 次 握手 结束 之 前 的 会 话 超时 5 秒 
接收 到 FIN 或 RST 后 到 会 话 结束 之 前 的 会 话 超时 30 秒 
UDP 数据 流 的 管理 


在 UDP 中 没有 像 TCP 这 样 的 3 次 握手 过 程 ， 客 户 端 和 服务 器 之 间 直 接 使 用 带 有 应 用 程序 


的 


UDP 分 组 进行 交互 。 


UDP 数据 流 是 指 发 送 源 卫 地 址 、 发 送 源 端口 号 、 目 的 地 IP 地 址 和 目的 地 端口 号 这 4 个 


同 的 一 系列 UDP 分 组 (图 5-14) 。 


BP 相 


客户 端 


DNS 查 询 


服务 器 


} 1 个 会 话 
query 响 应 


发 送 源 地 址 : 10.1.1.1 
目的 地 址 : 10.1.1.236 


发 送 源 端口 ，23455 
目的 地 端口 ， 53 


c2s ( client to server ) 的 数据 流 

从 10.1.1.1 地 址 向 10.1.1.236 地 址 的 53 号 端 
口 发 送 DNS 请 求 ( 开始 数据 流 ) 。 在 该 请 求 
得 到 安全 策略 允许 的 前 提 下 ， 当 首 个 分 组 达 
到 服务 器 时 ， 防 火 墙 便 开 始 生成 会 话 信息 


图 5-14 DNS 通信 示例 
DNS 和 SNMP 这 种 管理 


进行 音频 和 视频 数据 交互 
data) 构成 的 UDP 分 组 来 完成 1 个 数据 流 。 


管理 ICMP 和 了 IP 数据 流 


只 需 


类 应 用 程序 一 般 


1 个 


互 的 RTP (Real Time Protocol) ， 则 


发 送 源 地 址 : 


10.1.1.236 
目的 地 址 ，10.1.1.1 
发 送 源 端 口 : 53 
目的 地 端口 ， 23455 


s2c ( server to client ) 的 数据 流 


从 10.1.1.236 地 址 向 10.1.1.1 地 址 发 送 DNS 
响应 消息 ， 由 于 使 用 既 存 的 会 话 信息 进行 
响应 ， 因 此 该 消息 无 需 经 过 安全 策略 检测 
即 可 通过 防火 墙 


UDP 分 如 


便 能 完成 1 个 数据 流程 。 
需要 通过 多 个 | 


流 数 据 (streaming 


在 进行 ICMP 和 TCP/UDP 以 外 的 IP 通信 时 ， 由 于 不 存在 端 号 这 个 概念 ， 因 此 需要 直接 根据 IP 
首部 的 协议 号 来 生成 会 话 信息 。 
如 ICMP 中 的 Echo 消息 对 应 Echo Reply 消息 那样 ， 防 火 墙 需 动 识别 不 同 的 请 求 消息 和 与 之 
对 应 响应 消息 ， 并 综合 判断 这 些 消 息 序列 是 否 属于 同一 个 会 话 (图 5-15) 。 
客户 端 服务 器 
Echo 
Echo } es 
reply 
DNS 查 询 
query 上 es 
发 送 源 地 址 : 10.1.1.1 a 10.1.1.236 
目的 地 址 ，10.1.1.236 目的 地 址 : 10.1.1.1 
发 送 源 端口 23455 发 送 源 端 口 : 53 
目的 地 端口 : 53 目的 地 端口 : 23455 
c2s ( client to server ) 的 数据 流 s2c ( server to client ) 的 数据 流 
图 5-15 ICMP 数据 流 与 会 话 
会 话 同步 
支持 会 话 同 步 功 能 的 防火 墙 能 够 对 元 余 结 构 1 (HA 结构 3 ) 主 设备 和 副 设备 之 间 的 会 话 信息 进 
行 同步 。 为 了 准 确 地 同步 会 话 信息 ， 需 要 使 用 专用 的 HA 链 路 将 两 台 防 火 墙 连接 ， 然 后 在 该 链 路 
上 完成 会 话 信 息 的 交互 。 
| 下 指 高 可 用 性 (High Availability) 结构 。- 译 者 注 


在 采用 


表 | 


利用 会 话 数目 受 限 的 特性 


有 的 防火 墙 产 品 


了 主 备 方式 的 见 余 结构 中 ， 活 跃 设备 负责 建立 用 户 通信 的 会 话 ， 并 将 会 话 信 | 
， 同 时 还 会 将 信息 通过 HA 专用 链 路 转发 到 备用 设备 中 。 


户 。 


的 


防火 墙 可 以 以 TCP SYN、UDP、ICMP 以 及 其 他 了 等 协议 为 单位 ， 通 过 指定 发 送 源 与 目的 地 的 
民 制 该 类 会 话 的 数目 。 当 指定 的 发 送 ; | 
曾 该 服务 器 上 的 会 话 数 日 ， 这 样 做 不 仅 可 以 控制 服务 器 的 负载 ， 还 可 以 防范 DoS 攻击 
数 


由 内 会 话 表 中 会 话 记录 的 


组 合 来 
够 限 


另外 ， 限 制 会 话 的 数 


部 分 提供 给 用 


用 有 限制 通过 防火 墙 会 话 数目 


原 为 ANY、 指定 的 目的 地 


TH 


息 记录 和 会 话 


的 功能 ， 也 有 些 产 品 将 该 功能 作为 DoS 防御 功能 


上 为 某 特定 地 址 时 ， 就 能 


上 提高 防火 墙 的 改 


[全 已 
上 有 oo 


05.07.02 “分 组 结构 解析 


为 了 防止 非法 分 


项 


如 下 所 示 。 


IP 首部 解析 


IPv4 首部 格式 如 


4 7 8 


就 相当 于 限制 了 防火 


目 ， 这 也 能 够 在 一 定 程度 


的 流入 和 流出 ， 防 火 墙 会 对 分 组 的 首部 和 有 效 载 答 进行 结构 解析 ， 解 析 的 主要 


图 5-16 所 示 ， 其 中 成 为 防火 墙 解析 对 象 的 部 分 如 表 5-13 所 示 。 


15 16 


可 选 部 分 ( 32bit 、 长 度 可 变 、 最 小 为 0byte ) 


后 续 部 分 为 用 户 数据 


图 5-16 IPv4 首部 
表 5-13 以太 网 数据 帧 和 IPv4 首部 的 解析 内 容 


以 太 网 类 型 与 
IP 版 本 


确认 以 太 网 数据 帧 首部 上 的 Type 域 为 0x0800 时 表示 IPv4， 此 时 IP 首部 上 的 版 本 信息 也 为 4。 该 域 


为 0x86DD 则 表示 IPv6，IP 首部 上 的 版 本 信息 也 为 6 


IP 首部 


确认 必 备 数据 域 是 否 完整 ， 并 验证 


甘 


中 的 分 组 长 度 是 否 与 实际 长 度 一 致 


IP 协议 号 、 
TIL 
发 送 源 地 址 、 
目的 地 址 


验证 该 字段 是 否 为 0， 如 果 为 0 则 丢弃 该 分 组 


确认 是 否 存 在 Land 攻击 了 


总 数据 长 度 
标志 位 、 分 片 
偏 移 


~ 


确定 是 否 存 在 Ping of Death 攻击 也 


丢弃 无 法 进行 分 片 的 分 组 。 


可 选 数据 域 


丢弃 存在 无 用 可 选 数 据 域 的 分 组 。 


16 一 种 使 用 相同 
器 朋 演 。 一 一 译 


7 一 种 拒绝 服务 
一 译 者 注 


TCP 首部 解析 
TCP 首部 格式 如 


必 | 


数据 偏 移 


漏洞 的 机 


ee ` 目的 主机 和 端口 发 送 分 组 到 某 台 机 器 的 攻击 ， 会 使 存在 ; 
了 
的 攻击 ， 具 体 做 法 是 攻击 者 故意 发 送 大 于 65535 字 节 的 卫 分 组 给 接收 方 。 


5-17 所 示 ， 其 


校 验 和 


CIPIDIDIWIn 
WInD|<|5 
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"成 为 防火 墙 解 析 对 象 的 部 分 如 表 5-14 所 示 。 


目的 地 端口 号 


可 选 + 填充 部 分 ( 32bit、 长 度 可 变 、 最 小 为 0byte ) 


图 5-17 


TCP 首部 


表 5-14 TCP 首部 的 解析 内 容 


TCP 首部 | 确 


认 必 备 数据 域 是 否 完整 、 是 否 被 中 途 截 断 


立 


入 


数据 偏 移 | 节 ) 


认 表 示 TCP 


日 


了 长度 的 Data Offset 数据 域 的 值 是 否 为 5 以 下 (TCP 首部 长 


度 最 小 为 5 字符 =20 3 


校 验 和 | 确 


认 是 否 有 校 验 和 错误 


端口 号 | 


认 发 送 源 的 端 


号 以 及 


的 地 端 


号 是 否 为 0 


TCP 标志 
位 


检查 SYN、ACK 等 TCP 


部 内 的 标志 位 是 否 存在 组 合 不 ] 


E 确 的 情况 


UDP 首部 解析 


UDP 首部 解析 的 对 象 如 表 5-15 所 示 。 
表 5-15 UDP 首部 的 解析 内 容 


UDP 首部 


确认 必 


数据 域 是 否 完整 、 是 否 被 中 途 截断 


校 验 和 


确认 是 否 有 校 验 和 错误 


05.07.03 ”安全 区 域 


大 多 数 的 防火 墙 中 都 有 安全 区 域 (Security Zone， 简 称 为 区 域 ) 的 概念 ， 即 将 防火 墙 上 物理 接口 
以 及 逻辑 接口 分 配 至 不 同 的 区 域 中 ， 也 就 是 将 与 防火 墙 连接 的 网 段 分 别 划分 到 不 同 的 区 域 中 。 
中 ， 一 个 网 络 接口 不 能 属于 多 个 区 域 (图 5-18) 。 

在 同一 区 域内 可 以 自由 进行 基本 通信 ， 但 跨 区 域 的 通信 必须 符合 安全 策略 才能 完成 。 防 火 墙 也 能 
够 通过 安全 策略 设置 发 送 源 或 发 送 目的 地 等 条 件 ， 根 据 是 否 符合 这 些 条 件 来 判断 位 于 同一 区 域内 


的 通信 和 是否 


Sales 区 域 


vr 


Untrust 区 域 


互联 网 Ethernet1/1 


Ethernet1 


tunnel1 
loopback1 
Ethernet1/5 < 


内 部 网 络 


客户 端 
公开 服务 器 Trust 区 域 
DMZ 区 域 

图 5-18 ”区 域 划 分 示例 

区 域名 称 | ”所 分 配 的 网 络 接口 (举例 ) 说 明 

Trust Ethernet1/1、tunnell1、loopback1 | 可 信赖 的 公司 内 部 网 络 区 域 。 一 般 使 用 默认 设置 

Untrust “| Ethernet1/2 公司 外 部 (互联 网 ) 网 络 区域 。 使 用 默认 设置 

DMZ Ethernet1/5 向 外 部 公开 的 服务 器 所 使 用 的 区 域 。 一 般 使 用 默认 设置 

Sales Ethernet1/3 只 有 销售 部 门 员 工 才 能 访问 的 区 域 ， 是 由 管理 员 划 分 出 的 新 区 域 
信任 区 域 


公司 内 部 网 络 等 ， 需 要 由 组 织 内 的 防火 墙 来 保护 的 网 络 一 般 称 为 信任 区 域 (trusted zone) 或 内 部 


区 域 ， 意思 束 是 “被 信赖 的 区 域 ”。 


不 信任 区 域 


与 信任 区 域 相对 


域 。 不 信任 


又 二 


的 意思 就 是 “不 被 信赖 的 区 域 ”。 


支持 区 域 划 分 的 防火 墙 可 以 根据 默认 的 安全 策略 仪 执行 默认 拦截 操作 ， 也 


从 信任 区 域 到 不 信任 区 域 的 通信 。 


DMZ 


DMZ2 的 意思 是 非 武 装 区 域 (DeMilitarized Zone) ， 网 络 中 的 DMZ 是 指 由 
对 外 公开 服务 器 的 网 段 ， 该 区 域 与 内 部 网 络 是 分 离开 的 。 


的 是 外 部 网 络 ， 如 互联 网 等 ， 一 般 被 称 为 不 信任 区 域 (Untrust Zone) 或 外 部 


xl 


可 以 根据 安全 策略 完成 


防火 墙 划 分 的 、 放 置 了 


为 了 防止 受到 攻击 ， 从 外 部 网 络 访问 内 部 网 络 的 通信 一 般 都 会 被 防火 墙 拦 截 ， 但 是 服务 器 中 还 存 
在 web 服务 器 这 类 对 外 公开 的 服务 器 ， 对 于 这 类 服务 器 的 访问 就 不 能 一 味 地 拦截 了 。 但 如 果 将 
这 类 服务 器 放置 在 内 部 网 络 中 ， 一 旦 遭 到 外 部 网 络 用 户 的 恶意 入 侵 ， 便 会 导致 拥有 重要 数据 的 内 
部 网 络 对 外 敞开 大 门 。 


因此 ， 将 需要 对 外 公开 的 服务 器 放置 在 DMZ 中 ， 即 使 该 服务 器 遭 到 入 侵 ， 外 部 网 络 也 无 法 直接 
从 该 区 域 直 接 访问 内 部 网 络 。 


自 定义 区 域 

虽然 信任 区 域 、 不 信任 区 域 、DMZ 在 防火 墙 中 常 被 使 用 ， 但 区 域 也 能 够 根据 其 具体 内 容 、 安 全 
策略 描述 以 及 便于 管理 员 管 理 的 目的 自 定义 名 称 ， 如 “人 事 部 区 域 ” 或 “销售 部 区 域 " 等 ， 这 些 由 管 
理 员 重新 划分 并 自命 名 的 区 域 成 为 自 定 义 区 域 (Custom Zone) 。 

05.07.04 ”安全 策略 


防火 墙 的 主要 功能 是 访问 控制 ， 即 判断 是 否 允 许 特 定 发 送 源 与 特定 目的 地 之 间 进 行 特定 的 通信 。 


吉 


访问 控制 通过 设置 “规则 ”来 实现 ， 每 一 条 规则 都 指 定 了 需要 控制 的 发 送 源 、 的 地 以 及 通信 内 容 
等 信息 。 在 路 由 器 中 ， 这 类 访问 控制 的 规则 集合 称 为 “访问 控制 列表 ”， 而 在 防火 墙 中 则 一 般 称 
为 “安全 策略 ”或 “安全 规则 。 

路 由 器 的 访问 控制 列表 


处 行为 单位 定义 规则 ， 一 般 一 个 规则 整体 会 使 用 多 行 来 定义 ， 每 一 行 的 规则 称 
he 项 ” 本 


一 个 表 项 一 般 由 触发 对 象 trigger object) 、 行 为 (action) 、 可 选项 (option) 这 3 个 要 素 组 


例如 ， 以 Cisco IOS 中 为 标准 的 访 中 控制 列表 表 : 
是 在 也 只 许可 (permit) 和 拒绝 (deny) 之 间 二 


扩展 后 的 访问 控制 列表 可 以 将 下 面 这 些 参数 作为 触发 对 象 。 


IP 协议 号 、 发 送 源 IP 地 址 、 目 的 地 1IP 地 址 、ToS 数据 域 、ICMP 类 型 、 ICMP 代码 ~、 ICMP 
消息 、 发 送 源 TCP/UDP 端口 号 、 目 的 地 TCP/UDP 端口 号 、TCP 会 话 是 否 已 经 建立 

访问 控制 列表 表 项 中 的 可 选项 表示 当 满足 条 件 (触发 对 象 ) 时 ， 可 以 指定 “记录 志 ” 或 “ 表 项 有 
效 时 间 段 ”等 操作 。 如 果 使 用 了 有 效 时 间 段 选项 ， 就 能 够 设置 个 RB 司 上 班 时 间 为 对 象 的 访 
问 控制 列表 表 项 。 


例如 ， 人 允许 从 卫 地 址 为 10.1.1.2 的 客户 端 向 IP 地 址 为 172.16.1.1 的 服务 器 进行 Telnet 连接 (TCP 
端口 为 23) 时 ， 访 问 控制 列表 如 下 所 示 。 


access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet 


只 允许 发 送 源 IP 地 址 作为 触发 对 象 ， 而 行为 则 


注 


I 


表 5-16 Cisco IOS 中 扩展 访问 控制 列表 的 命令 


类 型 命令 注 1 


类 型 命令 注 1 


access-list access-list-number [dynamic dynamic-name [timeout minutes ]] {deny | permit} protocol source 
IP source-wildcard destination destination-wildcard [precedence precedence | [tos tos ] [log | log-input] [time-range 
time-range-name ] 


access-list access-list-number [dynamic dynamic-name [timeout minutes ]] {deny | permit} icmp source source- 
ICMP | wildcard destination destination-wildcard [icmp-type | [[icmp-type icmp-code | | [icmp-message ]] [precedence 
precedence | [tos tos] [log | log-input| [time-range time-range-name ] 


access-list access-list-number [dynamic dynamic-name [timeout minutes ]] {deny | permit} tcp source source- 
TCP |wildcard [operator [port ]] destination destination-wildcard [operator [port ]] [established ] [precedence 
precedence| [tos tos] [log | log-input] [time-range time-range-name ] 


access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} udp source source- 
UDP |wildcard [operator [port ]] destination destination-wildcard [operator [port ]] [precedence precedence] [tos tos] 
[log | log-input] [time-range time-range-name ] 


注 1: 粗 体 字 表 示 关 键 字 ， 和 斜体 字 表 示 可 选项 。 


表 5-17 Cisco IOS 中 访问 控制 列表 命令 参数 一 览 


参数 注 1 说 明 


Qccess:list: 访问 控制 列表 编号 。 扩 展 ACL 时 ， 可 以 使 用 100 到 199 (或 从 2000 到 2599) 之 间 的 值 


number 

dynamic 

dynamic-name | 如果 是 “timeout 10”， 表 示 空 闲 超时 时 间 为 10 分 钟 ， 即 会 话 如 果 在 10 分 钟 内 没有 进行 任何 通信 就 将 
[timeout 该 会 话 之 后 的 通信 拦截 。 如 果 使 用 了 dynamic 关 键 字 ， 则 表示 通信 开始 10 分 钟 后 会 话 仍 然 有 效 
minutes ] 


{deny | permit} | 指定 拒绝 (deny) 或 接受 (permit) 


ee 站 定 IP 首 部 内 表示 协议 号 的 数值 。 对 于 ICMP、TCP、UDP 等 可 以 使 用 icmp、tcp、udp 等 文字 序列 
作为 关键 字 


肯定 发 送 源 地 址 。 在 source 部 分 指定 网 络 地 址 ， 并 可 以 于 source-wildcard 处 指定 掩 码 取 反 的 通配符 
source source- | 例 : “10.1.1.0 0.0.0.255” 表 示 10.1.1.0/24 的 地 址 
wildcard “host 10.1.1.1” 表 示 10.1.1.1/32 的 地 址 
“any” 表 示 所 有 发 送 源 地 址 


表示 发 送 目的 地 的 地 址 。 在 destination 部 分 指定 网 络 地 址 ， 并 可 以 于 source-wildcard 处 指定 掩 码 取 
destination 反 的 通配符 
destination- 例 : “10.1.1.0 0.0.0.255” 表 示 10.1.1.0/24 的 地 址 
wildcard “host 10.1.1.1” 表 示 10.1.1.1/32 的 地 址 

“any” 表 示 所 有 目的 地 址 


[pope | 。 | 指定 ICMP 的 类 型 或 代码 
Ee 例 :“8” 表 示 Echo Request (ICMP Type 8) 
op “30” 表 示 Destination Unreachable (ICMP Type 3 的 Code 0) 


1 65509g6 | “echo-replay" 表 示 Echo Replay (ICMP Type 0) 


参数 注 1 说 明 
如 果 记 述 于 “source source- -wildcard” 之 后 ， 指定 的 是 发 送 源 端口 ， 记 述 于 “destination destination- 
wildcard” 之 后 则 指定 的 是 目的 地 端口 。“port” 部 分 可 以 填 号 端 编号 或 tp" 这 "这 种 应 用 程序 文字 
[operator [port | 列 。 oDerator "部 分 可 以 指定 “lt a ot A eq (neq 
于 ) ”、“range (包含 范围 ) 由 任意 一 个 关 再 
例 : “eq 23” 表 示 当 端口 号 等 于 23 时 的 情况 
“gt 1023” 表 示 端 口号 大 于 1023 时 的 情况 
[established] ee 即 在 收 到 SYN 消 息 后 ， 后 续 收 到 的 消息 会 携带 ACK 或 RST 比 
RE 指定 IP 首 部 内 IP precedence 的 值 。 该 值 可 以 是 从 0 到 7 的 数字 ， 也 可 以 是 文字 序列 。 例 : 
P “precedence 0” 表 示 IP precedence 的 值 为 0 
Bi “precedence priority” 表 示 IP precedence 的 值 为 1 
指定 IP 首 部 内 ToS 数 据 域 的 值 ， 该 值 可 以 是 从 0 到 15 的 数字 ， 也 可 以 是 文字 序列 。 例 : “tos 0” 表 示 
[tos tos ] ToS 值 为 0 
“tos min-delay” 表 示 ToS 值 为 8 
2 o8 关键 来 告知 路 由 器 当 收 到 与 访问 控制 列表 中 规则 一 致 的 分 组 时 ， 需 要 在 控制 端口 输出 
[og | log-input] | 志 信 息 。“log input” 的 部 分 则 表示 还 需要 将 输入 网 络 接口 和 发 送 源 MAC 地 址 的 相关 信息 一 同 输 
出 。 该 参数 一 般 用 于 调试 模式 
指定 访问 控制 列表 生效 的 时 间 段 。“time-range” 命 令 后 还 可 以 添加 一 个 给 指定 时 间 段 定义 的 新 名 称 
例 : 指定 平日 中 午 12 点 至 13 点 生 询 
[time-range (config)# time-range Lunch_time 
time-range- 
name ] 
(config-time-range)# periodic weekday 12:00 to 13:00 
这 里 访问 控制 列表 中 输入 的 是 “time-range Lunch_time” 这 一 关键 字 
注 1: 粗 体 字 表示 关键 字 ， 和 斜体 字 表 示 可 选 内 容 。 
防火 墙 的 安全 策略 
防火 墙 的 安全 策略 与 路 由 器 的 访问 控制 列表 最 大 的 不 同 点 在 于 是 否 拥有 区 域 的 概念 。 大 多 数 防火 
并 将 区 域 作为 触发 对 象 。 
另外 ， 新 一 代 防 火 墙 中 的 触发 对 象 还 包括 了 应 用 程序 名 称 和 用 户 名 称 等 信息 。 
访问 控制 列表 和 安全 策略 都 是 按照 表 中 由 上 往 下 的 顺序 依次 进行 评估 。 例 如 在 表 5-18 所 示 的 范 
例 中 ， 从 信任 区 域 向 不 信任 区 域 的 192.168.2.1 地 址 通信 时 ， 防 火 墙 首先 评估 第 1 条 安全 策略 ， 
检测 出 发 送 源 地 址 和 该 策略 中 定义 的 不 同 ， 因 此 未 执行 Allow 行为 。 接 着 评估 第 2 条 安全 策略 ， 
发 送 源 地 址 和 策略 定义 相 匹 配 ， 因 此 执行 Deny 行为 ， 也 就 是 拒绝 该 通信 。 防 火 墙 的 这 种 安全 策 
略 评估 行为 也 可 称 为 安全 策略 查找 (policy lookup) 。 
表 5-18 安全 策略 的 范例 
发 送 源 区 域 目的 地 区 域 发 送 源 地 址 目的 地 址 目的 地 端口 行为 
1 |Trust Untrust 192.168.1.0/24 Any Any Allow 


发 送 源 区 域 目的 地 区 域 发 送 源 地 址 目的 地 址 目的 地 端口 行为 


2 |Trust Untrust 192.168.2.0/24 Any 80 Deny 


3 |Untrust DMZ Any 10.1.1.1 80 Allow 


如 果 将 触发 对 象 设置 为 “Any” 则 表示 触发 对 象 是 任何 值 都 与 策略 相 匹 配 。 

在 表 5-18 所 示 的 范例 中 ， 并 没有 从 信任 区 域 向 DMZ 区域 进 行 通信 的 表 项 。 对 于 这 类 没有 出 现在 
安全 策略 表 中 的 通信 行为 ， 防 火 墙 默认 执行 拒绝 的 行为 ， 这 一 决策 称 为 “默认 的 拒绝 ” (implicit 
deny) ， 路 由 器 的 访问 控制 列表 同样 也 可 以 执行 “默认 的 拒绝 ”。 


当 需 要 防火 墙 在 没有 匹配 的 情况 下 也 执行 允许 行为 时 ， 可 以 像 表 5-19 所 示 那 样 ， 在 安全 策略 的 
最 后 一 行将 触发 对 象 均 设置 为 <Any”， 然后 将 行为 设置 为 “allow”。 


表 5-19 在 最 后 一 行 设置 allow 策略 的 范例 


发 送 源 区 域 目的 地 区 域 发 送 源 地 址 目的 地 址 目的 地 端口 行为 

1 |Trust Untrust 192.168.1.0/24 Any Any Allow 

2 |Trust Untrust 192.168.2.0/24 Any 80 Deny 

3 |Untrust DMZ Any 10.1.1.1 80 Allow 

4 |Any Any Any Any Any Allow 
防火 墙 可 设置 的 安全 策略 也 会 有 一 定 的 上 限 ， 该 上 限 由 产品 规格 决定 。 当 需要 进行 安全 策略 评估 
的 表 项 越 来 越 多 时 ， 设 备 的 ' 从 能 也 会 及 之 下 降 ， 。 至 于 设 性 能 会 下 降 到 何 种 程度 ， 则 需要 对 在 设 
置 完 安 全 策略 后 ， 策 略 最 终 行 命中 的 情况 下 ， 所 能 得 到 的 通信 乔 吐 量 与 没有 配置 任何 安全 策略 时 
能 得 到 的 通信 吞吐 量 进行 比较 ， 方 能 得 出 结论 。 
内 容 安全 策略 


区 域 、IP 地 址 、 端 口号 、 应 用 程序 等 都 可 以 作为 防火 墙 判断 是 否 允 许 进 行 通信 的 安全 策略 依 
四 。 另外 ， 在 UTM 以 及 新 一 代 防 火 墙 中 ， 还 可 以 使 用 内 容 安全 策略 规则 完成 对 特定 通信 的 控 


Qt 


查 计 


具体 而 言 ， 该 策略 使 用 了 反 病 毒 、IPS (入侵 防御 系统 ) 、URL 过 滤 、DLP (数据 泄露 防护 ) 等 
基于 内 容 的 安全 机 制 ， 能 够 拦截 非法 通信 和 避免 不 必要 的 通信 流量 。 另外 ， 通 过 该 策略 防火 墙 还 
也 可 以 对 这 些 通信 不 实施 拦截 ， 而 是 将 其 记录 到 告警 日 志 中 后 放行 。 


安全 设备 (OS) 的 初始 设置 一 般 都 设置 成 拦截 (drop) 严重 程度 (Severity) 高 的 攻击 ， 严 重 程 
度 低 的 攻击 只 记录 到 告警 日 志 中 。 当 然 ， 用 户 也 能 够 通过 修改 设置 拦截 严重 程度 低 的 攻击 。 


另外 ， 反 病毒 以 及 IPS 可 能 会 发 生 误 判 。 误 判 分 为 假 阳 性 (false-positive) 错误 3 和 假 阴 性 
(false-negative) 错误 蕊 两 类 。 


18 寺 


Ft 


于 生物 学 ， 可 以 简单 理解 为 验证 某 事物 为 阳性 ( 真 )》 时 ， 出 现 了 错误 。 一 一 译 者 注 


区 来 自 于 生物 学 ， 可 以 简单 理解 为 验证 某 事 物 为 阴性 ( 假 ) 时 ， 出 现 了 错误 。 一 一 译 者 注 


段 阳性 错误 是 指明 明 没有 攻击 行为 (或 病毒 入 侵 ) ， 却 被 网 络 安全 装置 判断 为 存在 攻击 行为 (或 
病毒 入 侵 ) ， 并 将 该 行为 记录 到 日 志 中 ， 或 者 之 间 将 通信 拦截 。 一 般 这 类 错误 容易 被 用 户 或 管理 
员 察 觉 。 

段 阴性 错误 是 指明 明 存 在 攻击 行为 ， 却 判断 为 没有 攻击 行为 。 结 有 果 不 仅 完 成 了 通信 ， 也 没有 将 通 
该 行 为 记录 到 日 志 中 ， 导 至 管理 员 即 使 查 看 安全 设备 的 日 志 信息 也 无 法 察觉 这 一 严重 后 果 。 只 
有 检查 作为 客户 端 册 个 人 计算 机 上 安 妆 的 反 病 王 软件 或 个 人 防火 墙 ， 才 能 找到 这 党 没有 被 安全 设 
备 防范 的 通信 的 信息 。 总 之 ， 假 阴性 错误 一 般 都 是 由 于 数字 签名 本 身 不 存在 ， 或 误 认 为 数字 签名 
存在 而 导致 的 检测 失败 。 


05.07.05 NAT 


使 用 私有 了 IP 地 址 、 位 于 内 部 网 络 的 客户 端 向 位 于 外 部 网 络 (互联 网 ) 的 服务 器 进行 通信 有 时， 可 
以 通过 路 由 器 或 防火 墙 将 发 送 源 的 私有 IP 地址 转换 为 全 局 IP 地 址 ， 这 一 转换 过 程 称 为 NAT20 。 
20 全 称 为 Network Address Translator 。 译 者 注 
NAT 原本 是 由 为 路 由 器 提供 的 功能 ， 不 过 现在 位 于 陨 络 过 托 处 的 车 弘 征 世 角 常 使 用 该 项 功能 
用 户 服 务 。 路 由 器 和 以 及 防火 墙 等 运行 NAT 功能 的 装置 在 后 文 都 将 统称 为 网 关 (gateway) 。 
静态 NAT 
静态 NAT (Static NAT) 是 指 将 NAT 之 前 的 地 址 和 NAT 之 后 的 地 址 进行 1 对 1 的 分 配 ， 由 管理 
员 将 信息 设置 到 网 关中 。 管 理 员 根 据 转换 前 的 地 址 在 网 关中 设置 一 个 指定 地 址 ， 该 指定 地 址 即 成 
为 转换 后 的 地 址 信息 。 静 态 NAT 在 进行 目的 地 NAT 时 经 常 使 用 ， 能 够 对 外 部 网 络 屏蔽 内 部 服务 
器 的 地 址 ， 从 而 避免 内 部 网 络 受到 攻击 。 
"NAT 转换 表 
3.3.3.1 — 192.168.10.1 
3.3.3.2 一 192.168.10.2 
: 12.1.1.1 
192.168.10.1 
192.168.10.254 3.3.3.254 2 
服务 器 网 关 互联 网 
发 送 源 目的 发 送 源 目的 
地 址 地 址 地 址 地 址 
一 
转换 后 的 分 组 原始 分 组 


例 : 发 送 源 地 址 3.3.3.1 转 换 为 192.168.10.1。 
发 送 源 地 址 3.3.3.2 转 换 为 192.168.10.2。 


图 5-19 静态 NAT 的 流程 


动态 NAT 

动态 NAT 的 方式 是 首先 给 网 关 指 定 一 个 名 为 IP 地 址 池 (IP address pool) 的 IP 地 址 范围 ， 在 
NAT 所 需 会 话 建立 时 ， 地 址 池内 的 IP 地 址 将 会 顺序 分 配 成 为 转换 后 的 卫 地 址 。 由 于 地 址 范围 能 
够 由 管理 员 通 过 设置 进行 更 改 ， 因 此 该 方式 应 用 于 需要 进行 NAT 的 对 象 比 较 多 的 情况 。 
虽然 和 静态 NAT 类 似 ， 私 有 地 址 与 全 局 地 址 存在 1 对 1 的 映射 关系 ， 但 是 通过 动态 NAT 转换 后 
的 地 址 不 是 由 管理 员 设 置 ， 而 是 动态 分 配 的 、 在 IP 地 址 池内 排序 靠 前 的 有 效 地 址 (图 5-20) 。 


NAT 转 换 表 
192;168.1.2 一 2.2.2.1 


192:168.1.1 一 2222 


: | IP 地 址 池 
\ | 2.2.2.1~2.2.2.10 
4 lal \ | 


192.168.1.1 192.168.1.3 


192.168.1.2 


互联 网 网 关 客户 端 


例 : 将 发 送 源 I|P 地 址 通过 范围 是 2.2.2.1~2.2.2.10 的 IP 地 址 池 进 行 转换 。 
人 将 第 一 个 到 达 网 关 的 分 组 的 发 送 源 IP 地 址 192.168.1.2 转 换 为 2.2.2.1。 
@ 将 第 二 个 到 达 网 关 的 分 组 的 发 送 源 IP 地 址 192.168.1.1 转 换 为 2.2.2.2。 
( 由 于 该 地 址 池 中 最 多 有 10 个 地 址 ， 因 此 最 多 允许 10 个 客户 端 连接 到 互联 网 ) 


图 5-20 动态 NAT 的 流程 


发 送 源 NAT 
发 送 源 NAT (Source NAT) 是 指 对 发 送 源 的 IP 地 址 进行 NAT 转换 。 


上 时， 必须 将 私有 了 P 地 址 转换 为 全 局 地 址 才能 访问 外 部 互联 网 上 的 服务 器 


与 互联 网 上 的 服务 器 进行 通信 必须 使 用 全 局 IP 地 址 ， 但 由 于 IPv4 地 址 处 于 枯竭 状态 ， 因 此 无 法 
为 互联 网 上 的 每 台 客户 端 都 分 配 一 个 全 局 IP 地 址 。 而 在 大 多 数 情况 下 ， 发 送 源 NAT 能 够 通过 动 


态 NAT 方式 市 约 全 局 IP 地 址 资源 ， 因 此 通过 在 网 关上 设置 地 址 池 ， 或 者 在 网 关 的 网 络 接 
用 NAPT (后 文 会 介绍 ) ， 也 可 以 实现 从 私有 网 络 访问 互联 网 的 功能 。 


也 和 


问 控制 列表 的 管理 也 变 得 非常 简单 (图 5-21) 


NAT 转 换 表 
192.168.1.1 一 22.2.1 


192.168.1.2 一 2.2.2.2 
和 的 网 : 


192.168.1.1 


2.2.2.254 192.168.1.254 


互联 网 网 关 客户 端 
发 送 源 目的 发 送 源 目的 
地 址 地 址 地 址 地 址 
一 
转换 后 的 分 组 原始 分 组 


图 5-21 发 送 源 NAT 的 流程 


由 于 从 外 部 网 络 只 能 查询 全 局 地 址 信息 ， 因 此 发 送 源 NAT 还 能 够 隐藏 客户 端 实际 分 配 到 的 卫 地 
址 ， 从 而 降低 直接 受到 外 部 网 络 攻击 的 风险 。 而 且 通 常 是 由 网 关 来 完成 NAT 转换 工作 ， 因 此 访 


位 于 公司 内 部 网 络 (私有 网 络 ) 、 使 用 私有 卫 地 址 的 客户 端 在 作为 发 送 源 将 数据 发 送 至 网 关 


处 使 


目的 地 NAT 
目的 地 NAT (Destination NAT) 是 指 对 发 送 目的 地 的 IP 地 址 进行 NAT 转换 。 


位 于 互联 网 等 公司 外 部 网 络 的 客户 端 ， 想 要 通过 网 关 访问 位 于 公司 内 部 网 络 的 服务 器 时 ， 需 要 进 

行 目的 地 NAT 。 由 于 公司 内 部 服务 器 一 般 使 用 分 配 好 的 内 网 地 址 ， 因 此 无 法 从 互联 网 直接 路 

| 。 这 时 ， 网 关 可 以 作为 该 内 部 服务 器 的 代理 ， 定 义 全 局 地 址 ， 并 将 来 自 外 部 网 络 的 客户 端 访问 

续 移 到 该 全 局 地 址 上。 网 关 接 收 到 目的 地 为 全 局 地 址 的 分 组 后 ， 将 该 分 组 的 目的 地 址 再 转换 为 内 

人 上 有 的 实际 私有 地 址 ， 从 而 完成 路 由 。 公 司 内 部 的 服务 器 通常 会 放置 在 DMZ 区 域 
5-22) 。 


O 


NAT 转 换 表 
3.3.3.1 一 192.168.10.1 


3.3.3.2 一 192.168.10.2 


192.168.10.1 i 
‖192 168.10.254 3.3.3.254 [| 
| < 
互联 网 网 关 客户 端 
发 送 源 ”目的 发 送 源 ”目的 
地 址 ”地 址 地 址 ”地 址 
| 一 有 请 
转换 后 的 分 组 原始 分 组 
图 5-22 目的 地 NAT 的 流程 
NAPTVIP 伪装 /PAT 


当 只 能 使 用 1 个 全 局 地 址 同 外 部 网 络 进行 通信 ， 或 者 可 用 的 全 局 地 址 少 于 内 部 网 络 的 客户 端 数量 
时 ， 网 关 无 法 完成 私有 地 址 和 全 局 地 址 的 1 对 1 分 配 。 


这 种 情况 下 ， 网 关 需 要 结合 使 用 TCP 或 UDP 端口 号 ， 完 成 将 多 个 私有 地 址 映射 成 1 个 全 局 地 址 
的 转换 (图 5-23) 。 


NAT 转 换 表 汉 10001 和 10002 表 示 发 送 源 端口 号 
192.168.10.1 一 4.4.4.1:10001 


192.168.10.2 一 4.4.4.1:10002 


192.168.10.1 
1 区 下 
192.168.10.254 
192.168.10.2 
区 服务 器 
互联 网 192.168.10.3 
发 送 源 ”目的 ”发 送 源 目 的 地 发 送 源 ”目的 发 送 源 目的 地 
地 址 “地 址 端口 端口 地 址 地 址 ”端口 端口 
[4 4411121.1 | 10001 | a0 [RR NE 区 四国 本 于 
转换 后 的 分 组 原始 分 组 
发 送 源 ”目的 发 送 源 目的 地 发 送 源 ”目的 发 送 源 目的 地 
地 址 地址 端口 端口 地 址 地 址 端口 ”端口 


.1a.1.1.1 801 10007 [RR | » [12.1.1.1| 52 00101 [50[32111| 和 站 


返回 的 分 组 原始 分 组 


图 5-23 


的 一 中 ， 在 Linux 中 称 为 IP 伪装 
Address Translation， 端 口 地 址 转换 ) 、NAT 重 载 (NAT overloading) 、 单 一 地 址 NAT 或 端口 级 


NAT 
MIP 


Junip 


复 用 等 。 


与 VIP 


NADTVIP 伪装 /PAT 的 流程 
这 种 转换 方式 称 为 NAPT (Network Address Port Translation， 网 络 地 址 端口 转换 ) ， 


(IP Masquerade) ， 在 一 部 分 网 络 硬件 中 也 称 为 PAT (Port 


er 公司 的 ScreenOS 中 还 使 用 


(Virtual Internet Protocol， 虚 拟 网 络 协 议 ) 两 个 NAT 术语 。 


MIP 是 指 将 1 个 IP 地 址 映射 成 另 


地 NAT 转换 。 


是 动态 NAT 


了 MIP (Mapped Internet Protocol， 了 映射 网 络 协议 ) 和 VIP 


1 个 PP 地址 (1 对 1 分配) ， 同 静态 NAT 类 似 ， 主 要 用 了 


VIP 则 是 基于 目的 地 端口 号 的 静态 NAT 。 


ScreenOSs 中 动态 NAT 所 使 用 的 卫 地 址 池 称 为 DIP (Dynamic IP Pool, 动态 IP 池 ) 。 


05.07.06 VPN 


VPN (Virtual Private Network) 的 意思 是 虚拟 私有 网 络 全。 所 谓 的 私有 网 络 是 指使 
址 、 位 于 组 织 内 部 的 网 络 ， 即 Intranet。 而 VPN 则 是 使 用 公共 互联 网 或 者 电信 运 ; 
网 络 ， 


21 或 虚拟 专 有 网 。 一 一 译 者 注 


车 价 构建 Intranet 的 技术 。 


用 私有 卫 地 
运营 商 提供 的 公 考 


ADSL 这 互联 网 接 入 服务 的 普及 ， 司 
F 始 体现 出 很 强 的 成 本 优势 。 


N 专用 装置 都 可 以 支持 IPsec-VPN 功能 ， 在 各 个 节点 之 间 使 
建 IPsec 隧道 并 进行 连接 ， 就 可 以 完成 VPN 的 构建 (这 一 时 期 将 支持 IPsec-VPN 上 


组 织 


一 时 期 ， 路 由 器 、 防 火 墙 、VP 


这 些 设 


车 接 开 始 通过 使 用 廉价 终端 适配器 的 ISDN 进行 。2000 年 左右 ， 


更 用 广域网 接 入 互联 网 的 成 本 越 来 越 低 ， 


内 部 Intranet 节点 的 做 法 也 


立 于 Intranet 中 的 管理 数据 、 人 事 信息 、 技 术 信息 等 对 于 外 部 而 言 属 于 机 密 的 信息 ， 必 须 在 组 织 
为 部 封闭 地 进行 数据 传输 。 当 组 织 只 有 1 71 个 办 公 场 所 时 ， 可 以 通过 LAN 完成 Intranet 的 构建 。 
晶 如 果 有 类 似 于 东京 总 部 和 大 阪 分 部 这 类 跨 地 理 位 置 的 分 支 机 构 时 ， 就 不 得 不 在 这 些 地 理 位 置 不 
司 的 办 公 场 所 之 间 完 成 Intranet 的 构建 与 连接 。 对 于 这 类 情况 ， 在 上 世纪 90 年 代 之 前 ， 是 通过 签 
约 、 租 用 电信 运营 商 提供 的 “专线 ?服务 来 完成 Intranet 构建 的 。 顾 名 思 义 ， 这 个 “专线 ”是 属于 租 
用 方 单独 使 用 的 线路 ， 因 此 在 专线 内 不 会 出 现 其 他 公司 的 数据 ， 也 无 需 担心 第 三 方 对 该 专线 中 的 
数据 进行 窃听 ， 通 信 质 量 也 能 得 到 保障 。 但 是 专线 的 月 租 费 用 很 高 ， 尤 其 是 带宽 为 几 Mbits 以 上 
的 广域网 线路 ， 租 用 费用 更 是 不 菲 。 


随 着 


利用 互联 网 来 构 到 


位 


ee 


设 


统称 为 VPN 装置 ) 。 


根据 拓扑 对 VPN 分 类 


站 点 间 VPN 


站 点 间 VPN (site-to-site VPN) 是 在 两 个 网 络 之 间 通 过 IPsec 隧道 


ms 


VPN 装置 之 间 使 用 的 是 点 对 


每 个 网 络 的 网 关中 都 设 有 路 由 器 或 防火 墙 等 VPN 装置 ， 二 者 之 间 也 建 有 


点 的 拓扑 结构 (图 5-24) 。 


了 连接 的 拓扑 结构 。 在 


剑 荔 


IPsec 隧道 。 


个 


mm 
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图 5-24 ”站 点 间 VPN 的 组 成 


这 里 提 到 的 网 络 是 指 位 于 东京 的 总 部 网 络 或 者 位 于 名 古 屋 分 部 的 任意 站 点 中 的 网 络 。 因 为 是 
站 点 (site) 之 间 的 连接 ， 所 以 称 为 站 点 间 VPN 。 


中 心 辐射 型 VPN 


中 心 辐射 型 VPN (hub and spoke VPN) 是 星 形 拓扑 结构 ， 即 将 1 个 中 心 站 点 的 硬件 同 多 个 
远程 站 点 的 硬件 连接 而 构成 的 结构 (图 5-25) 。 中 心 站 点 (center site) 放置 总 部 的 网 络 与 
数据 中 心 ， 成 为 整个 组 织 的 核心 站 点 。 该 拓扑 结构 同 自行 车 的 飞轮 和 辐 条 组 成 的 结构 类 似 ， 
寻 此 命名 为 hub and spoke VPN22 。 该 类 型 VPN 一 般 用 了 服务 供应 商 提 供 的 VPN 业务 ， 以 
服务 供应 商 的 基础 设施 为 中 心 站 点 ， 通 过 VPN 连接 整个 组 织 的 其 他 站 点 


省 疏 


ES 


中 心 站 点 
ex. 东 京 总 部 


远程 站 点 A 


Nem 


图 5-25 中心 辐射 型 VPN 的 组 成 
远程 接 入 型 VPN 


IPsec 隧道 人 
互联 网 
VPN 装 置 


we 


CE 


IPsec 隧道 


VPN 装 置 


1 
1 远程 站 点 B 


有 


户 使 用 个 人 计算 机 上 的 软件 ， 在 家 中 或 在 外 出 时 经 由 互联 网 与 公司 的 VPN 装 


隧道 ， 进 而 访问 公司 内 部 服务 器 的 拓扑 结构 称 为 远程 接 入 型 VPN (图 5-26) 。 


远程 接 入 型 的 IPsec-VPN 子 类 型 需 


要 实现 中 ， 个 人 计算 机 安装 VPN 客户 端 软件 ， 


置 建立 IPsec 


而 SSL- 


VPN 子 类 型 则 是 通过 Web 浏览 器 使 用 SSL 连接 至 公司 的 VPN， 通 过 SSL (HTTPS) 连接 与 


公司 内 部 服务 器 进行 交互 。 


局 


PC 
图 5-26 远程 接 入 型 VPN 的 结构 


IPsec-VPN 


IPsec-VPN 是 使 用 


经 


IPsec 协议 的 VPN 连接 ， 


VPN 软 件 


行车 车 轮 的 结构 ， 飞 轮 俗称 “ 飞 "， 英 语 为 hub， 辐 条 俗称 “轮胎 钢丝 ”， 


IPsec 隧道 


VPN 软 件 


英语 为 spoke 。 译 者 注 


主要 用 于 在 站 点 间 VPN 以 及 中 心 辐射 型 VPN 中 提供 


互联 网 连接 到 站 点 的 安全 连接 。 表 5-20 中 总 结 了 在 IPsec-VPN 中 所 使 用 的 协议 及 其 重要 功 


台 巴 
有? 


表 5-20 IPsecVPN 中 使 用 的 技术 术语 


术语 


说 明 


SA (Security 
Association) 


IPsec 通 信 时 与 通信 对 方 建立 的 逻辑 连接 


ESP (Encapsulating 
Security Payload) 


将 原始 分 组 按 DES/3DES/AES 等 任意 
的 IP 协 议 号 为 50 


个 算法 进行 加 密 。 通 过 HMAC 确 定 是 否 被 自 改 。 使 


Index) 


表示 SA 的 编号 ， 值 为 32bit。 在 对 分 组 进行 加 密 时 ， 
月 信 


算法 与 密 外 


AH (Authentication ”| 根据 HMAC 信 息 确认 分 组 是 否 被 自 改 的 认证 协议 。 不 对 分 组 进行 加 密 。 使 用 的 I 人 P 协 议 号 为 
Header) 51。 在 不 使 用 加 密 通 信 的 国家 使 

IKE (Internet Key IPsec 加 密 时 交换 key 信 息 的 协议 ， 也 称 为 ISAKMP/Oakley。 在 ISAKMP 协 议 上 实现 
Exchange) Oakley 的 key 交 换 过 程 。 使 用 UDP 端口 号 为 500。 分 为 阶段 (phase) 1 和 阶段 2 进行 处 理 
ne ye age | 用 来 验证 信息 是 否 被 和 改 的 一 种 MAC (消息 认证 码 ) ， 使 用 散 列 画 数 通过 与 密 钥 信 息 
A (password) 的 组 合计 算 而 得 。 其 中 散 列 函数 使 用 的 散 列 算法 一 般 为 MD5 或 SHA- 

SPI (Security Pointer 将 该 值 代入 其 中 ， 表 示 使 可 种 加 密 


NAT traversal 


通过 ESP 进 行 加 密 的 分 组 由 于 没有 TCP/UDP 首 部 


此 无 法 使 用 NAPT。 这 时 就 需要 使 


NAT traversal 技 术 给 ESP 加 密 后 的 分 组 添加 UDP 部 ， 


通信 。 一 般 使 用 500 或 4500 的 目的 地 端口 号 
A NAT traversal 默 认 使 用 的 端口 号 注 1 


从 而 


企 NAPT 环 境 下 也 能 够 进行 IPsec 


厂商 、NAT traversal 功 能 


的 名 称 


端口 号 


IPsec Transport Encapsulation Protocol 


Check Point Software Technologies VPN-1 SecuRemote 


UDP 端口 2746 


Cisco Systems VPN3000 NAT-T 


UDP 端口 4500 


Juniper Networks 的 SSG 系 列 


UDP 端口 500 


UDP 端口 500 或 4500 


注 1: NAT traversal 使 用 的 端口 号 也 可 以 通过 设置 来 更 改 。 


a IPsec-VPN 连接 


在 建立 IPsec 隧道 的 通信 双方 中 ， 


者 (responder) 。 


发 起 者 是 最 先 发 出 通过 IPsec 隧道 分 


协商 的 一 方 称 为 发 起 者 (initiator) ， 另 


和 网络 装 置 。 


在 阶段 1 使 用 aggressive 模式 


联网 的 话 ， 由 于 中 央 六 太 交 是 无 法 预知 远程 癌 


发 起 者 。 这 种 情况 下 ， 需 要 由 远程 站 点 一 俱 


Rekey 


IPsec 隧道 在 建立 后 ; 击 妥 定 


当 有 一 定量 的 数据 在 隧道 上 


期 进行 rekey (更 新 key) 操作 。rekey 操作 每 经 过 


大 多 数 VPN 装置 提供 了 调 


户 端 开始 整个 通信 过 程 。 


一 方 称 为 应 答 


时 ， 如 果 远 程 站 点 装置 使 用 动态 了 地址、 通过 PPPoE 连接 互 
装置 的 IP 地址 ， 因 此 远程 站 点 装置 将 成 为 


NA 


辣 的 功能 


从 故障 排查 角度 来 看 ， 发 起 者 和 应 答 者 之 间 也 是 采取 相同 的 机 制 比较 好 。 


成 为 发 起 者 的 VPN 装置 加 


协商 过 程 。 
， 站 点 间 VPN 的 通信 处 理 
以 网 络 A 与 网 络 B 为 例 ， 


PC-A 想 要 向 位 于 网 络 B 内 


提前 设置 了 rekey i 


网 络 A 与 网 络 B 之 问 通 
的 PC-B 进行 通信 


PC-A 发 起 通信 请 求 后 ， 通 过 路 


分 组 尚未 加 密 ， 处 于 明文 状态 。 分 台 


一 定时 间或 每 


进行 时 间 的 话 ， 一 般 就 会 从 该 装置 开始 整个 


过 IPsec 隧道 完成 连接 ， 位 于 


出 去 。 


首部 与 在 隧道 内 通信 用 的 人 Pp 


网 络 B 中 的 VPN 装置 B 通 坟 


日 通 过 VPN 装置 A 进行 加 密 ， 


网 络 A 内 的 


器 或 交换 机 将 分 组 发 送 到 网 关 _VPN 装置 A 处 ， 这 时 该 


添加 ESP 


( 称 为 外 部 IP 地 址 (outer IP) ) 后 ， 通 过 IPsec 隧道 发 送 


立 | 


部 。 昌 然 根据 设置 可 能 会 有 


知 信息 。 
如 果 加 密 分 组 一 切 正常 ， 


> 


会 将 该 分 组 判定 为 重 放 攻 十 并 给 出 错 : 


， 去 除外 部 IP、ESP、AH 等 首 音 


E 确 ，VPN 装置 B 就 


到 加 密 的 分 组 后 ， 会 校 验 检查 ESP 首部 与 AH 
般 来 说 如 果 ESP 序列 号 不 了 
言 息 ，SPI 值 如 果 不 正确 则 会 输出 “Bad SPI”* 的 错误 通 


， 并 对 原来 


IP 首部 ( 称 为 内 部 IP 首 音 


路 由 ， 从 而 到 达 PC-B 处 。 


PC-B 向 PC-A 回复 的 消息 


另外 ， 中 心 辐射 型 YPN 
壕 流程 模式 。 


进行 加 密 处 理 ，VPN 装置 A 进行 解密 处 理 。 


远程 站 点 客户 端 和 


远程 站 点 之 间 的 通信 处 理 


以 远程 站 点 A 和 远程 站 点 B 为 例 。 远 程 世 
时 ， 需要 利 位 于 远程 站 点 A 的 VPN 装 
中 央 站 点 的 VPN 装置 C。 


央 站 点 服务 器 之 间 的 VPN 通信 也 可 以 参照 上 


点 A 内 的 PC-A 同 远程 站 点 也 站 PC-B 进行 通信 
置 A、 位 于 远程 站 点 BB 的 VPN 


装置 B， 以 及 位 于 


分 组 通过 VPN 装置 A 与 VPN 装置 C 之 间 的 IPsec 隧道 后 ， 再 途经 VPN 装置 C 与 VPN 装 

置 B 之 间 的 IPsec 隧道 ， 最 终 到 达 PC-B。 在 这 个 过 程 中 ， 远 程 站 点 的 VPN 装置 es 

间 VPN 装置 的 处 理 过 程 如 出 一 加 。 

位 于 中 央 站 点 的 VPN 装置 则 需要 完成 解密 和 加 密 两 项 处 理 。 置 于 中 央 站 点 的 路 由 器 或 VPN 

专用 装置 ， 一 般 只 进行 解密 、 加 密 以 及 路 由 选择 处 理 。 但 置 于 中 央 站 点 的 防火 墙 则 在 分 组 解 

ee {进行 更 为 精确 的 检查 ， 仅 对 安全 性 有 保障 的 分 组 进行 加 密 ， 然 后 再 向 远程 站 点 

基于 策略 的 VPN 

路 由 器 以 及 大 多 数 VPN 装置 都 使 基于 策略 的 VPN 功能 。 基 于 策略 的 VPN 是 指 根据 策略 
( 访 问 控 制 列 表 ) 信息 选择 经 过 IPsec 隧道 的 通信 流量 ， 这 样 即使 路 径 发 生变 化 也 不 会 对 

IPsec 通信 造成 影响 。 

基于 策略 的 VPN 需要 设置 执行 IPsec 的 策略 与 proxyID 信息 。proxyID 用 于 指定 IPsec 隧道 


内 传输 分 组 的 本 地 网 络 和 远程 


例如 ， 站 点 A 与 站 点 B 之 间 使 
和 192.168.2.0/24， 站 点 B 为 192.168.3.0/24 和 192.168.4.0/24。 


如 果 只 在 192.168.1.0/24 和 192.168.3.0/24 之 间 i 


滞 保 


VPN 装置 处 设 


网 


络 。 


基于 路 由 的 VPN 
路 


该 类 型 VPN 适 


在 基于 路 
该 虚拟 接 


流入 I 


径 的 VPN 中 ， 


站 点 间 VPN 构建 网 络 ， 


设置 本 地 proxyID 为 192.168.1.0/24， 远 程 proxyID 


IPsec 分 组 也 进 


IPsec 隧道 的 起 点 称 为 隧道 接 


| 


中 站 


进行 加 密 通信 的 话 ， 


行 精确 控制 的 情况 。 


es 


隧道 。 


如 果 有 


Psec 


通 信 


由 选择 ， 
基于 路 
基于 策 


转发 至 隧道 接 


处 即 可 。 


策略 进行 


司 样 9] 


江 
从 


入 


经 


流量 需要 在 IPsec 


制 。 


使 用 策 


铬 来 决定 是 否 将 


分 


组 


作为 IPsec 


VPN 则 


吾 ， 


言 息 来 决定 是 否 ; 


IPsec 通信 。 


可 以 和 人 处理 


阶段 1 


在 IPsec 通信 中 为 


了 建立 加 密 隧道 的 SA (Security Association ) 


IKE 协议 完成 密 钥 的 交换 。 


时 高 安全 性 


为 了 提高 安 4 
建立 双方 、 生 成 阶 


的 各 个 参数 信息 。 


段 2 所 需 公 有 密 钥 ， 


表 5-21 IPsec 阶段 1 使 用 的 参数 


， 通 过 策略 来 定义 分 组 


，IKE 协商 分 为 阶段 1 和 阶段 2 
建立 ISAKMP23 SA 等 


过 滤 和 防火 墙 


处 理科 


等 


部 分 完成 。IKE 阶 
工作 。 


配置 为 192.168.3.0/24。 
本 地 proxyID 为 192.168.3.0/24， 远 程 proxyID 为 192.168.1.0/24。 


tunnel interface ) 


隧道 内 传输 ， 


通信 的 对 象 ， 而 
因此 在 进行 IPsec 通信 时 ， 也 


的 VPN 是 Juniper 公司 的 NetScreen/SSG 系列 以 及 Palo Alto 公司 的 PA 系列 防火 墙 
采用 的 VPN 类 型 。 


于 需要 防火 墙 对 


， 通 信 流 量 


点 A 网 络 为 192.168.1.0/24 


需要 在 站 点 A 的 VPN 装 
在 站 点 B 的 


通过 


就 可 以 通过 设置 


基于 路 


O 


股 1 需要 完成 认证 


表 5-21 总 结 了 阶段 1 使 


时 


由 的 


， 需 要 在 各 硬件 之 间 使 用 


SA 


值 


或 者 
模式 


main 模 式 


aggressive 


说 明 


IP 地 坟 


i 中 ， 使 


此， 就 可 以 使 
地 址 ， 则 需要 使 


main 模 式 。 
aggressive 模 式 


I 


止 来 标识 硬件 。 隧 道 终端 的 两 个 VPN 装 置 如 果 是 匡 
l PPPoE 或 DHCP 


个 终端 的 硬件 是 使 


| 


动 获 得 IP 


定 分 配 的 IP 


数字 证 


> 


书 | 使 用 公共 机 构 发 行 


的 安全 证 书 


安全 性 较 高 ， 


本 
山 
tt 


(Certificate) 


续 磋 烦 


法 t 享 | 预 亨 密 角 (Pre Shared Key) 就 是 隧道 两 端的 硬件 使 用 相同 口令 登录 的 方法 ， 引 入 非 
常 简单 
使 用 数字 证 书 时 ， 需 要 指定 密 钥 的 类 型 (RSA 或 DSA) 和 长 度 (bit 数 ) 。 一 般 密 钥 长 
度 在 512/768/1024/2048bit 中 任 选 ， 而 bit 数 越 大 安全 性 就 越 强 


Diffie- | group 1 、 | 简称 为 DH，group 数 字 越 大 表示 在 Oakley 密 钥 交换 时 使 用 的 公有 密 钥 强度 越 高 。group 1 


Hellman | group 2 、 | 的 长 度 为 768bit，group 2 的 长 度 为 1024bit，group 5 的 长 度 为 1536bit 
group group 5 
加 密 算 |DES、 可 以 选择 密 钥 长 度 为 56bit 的 DES 、 密 钥 长 度 为 168bit 的 3DES 或 者 密 钥 长 度 为 
法 3DES、 9056 的 中 AES 的 使 用 比较 普遍 。 密 钥 长 度 越 长 强度 越 高 ， 处 理 也 就 
AES 越 耗费 时 间 
认证 算 |MD5、 MD5 使 用 128bit、SHA-1 使 用 160bit 的 散 列 值 进行 数据 的 认证 。 像 SHA-1 这 这 种 使 用 的 
人 SHA-1 散 列 值 越 长 ， 不 同 数据 之 间 因 散 列 计算 结果 相同 而 造成 散 列 “冲突 ”的 可 能 性 就 越 低 
IKE ID | 四 地 址 或 于 识别 作为 执行 IKE 对 象 的 硬件 的 标识 符 。 大 多 使 用 IP 地 址 ， 也 有 使 
FQDN FQDN{24[Fully Qualified Domain Name， 即 正式 域名 。 一 一 译 者 注 ]} 等 作为 标示 符 的 
" 阶段 2 


IKE 阶段 2 负责 生成 IPsec 通信 时 使 用 的 密 钥 并 建立 IPsec SA。 表 5-22 总 结 了 阶段 2 使 用 的 
各 个 参数 信息 。 


表 5-22 IPsec 阶段 2 使 用 的 参数 
AH 、 AH 只 能 用 来 认证 ，ESP 则 能 够 进行 认证 和 加 密 处 理 。 日 本 几乎 都 是 使 用 ESP， 而 


IPsec 协议 | “Esp 禁止 对 通信 加 密 的 国家 则 选择 AH 的 居多 
隧道 模 |、、 本 
要 < 全 通过 IPsec 构建 VPN 时 使 用 隧道 模式 。 
模式 式 、 透 | 在 终端 之 间 建立 Ipsec 隧 道 时 则 使 用 透明 模式 
明 模 式 
a 指定 ESP 协 议 是 仅 用 于 加 密 处 理 还 是 同时 用 于 加 密 和 认证 处 理 。 该 参数 一 般 都 设 


为 后 者 


加 密 算法 与 认证 | DES、 人 
3DES 、 | 与 阶段 1 相同 
算法 本 


点 选 反 重 放 选 项 后 ， 和 列 号 信息 ， 丢 弃 序列 
反 重 放 (Anti- |ON、 号 不 正确 的 分 组 并 通过 记录 日 志 告 知 管 

Replay) 选项 ”|OFF 该 功能 来 防止 重 放 攻 和 站 款 各 加 丛 分 组 的 内 容 后 ， 了 次 发 送 相同 内 容 
来 人 复 改 "大 有 分 组 顺 序 的 攻击 
PFS (Perfect |ON 、 | 该 选项 用 于 防止 某 密 钥 成 为 破解 其 他 密 钥 的 线索 。 点 选 PFS 选 项 后 ， 当 IPsec SA 
Forward OEE 密 钥 生成 /更 新 时 会 再 次 执行 Diffie-Hellman 算 法 ， 同 时 与 阶段 1 一 样 ， 选 择 Diffie- 
Securecy) 选项 Hellman 的 group 类 型 


El 


I 
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SSL-VPN 


SSL-VPN 是 通过 浏览 器 使 用 HTTPS (HTTP over SSL) 进行 安全 Web 访问 的 远程 接 入 


2000 年 左右 ， 远 程 接 入 型 IPsec-VPN 一 般 应 用 于 企业 中 ， 如 果 个 人 计算 机 想 要 使 用 ， 则 需 
先 安装 并 设置 专用 的 客户 端 软件 。 由 公司 管理 的 个 人 计算 机 尚 能 够 解决 软件 的 安装 问题 ， 
但 是 对 于 不 支持 该 客 端 钦 件 的 Mac OS、 移 动 终端 等 操作 系统 、 以 及 希望 在 家 中 或 漫画 咖 
啡 厅 等 地 点 使 用 非 公 司 管 理 的 计算 机 连接 VPN 的 用 户 来 说 ， 往 往 不 具备 相应 的 客观 条 件 。 
另外 ， 在 VPN 的 链 路 中 如 果 存 在 防火 墙 ，VPN 连接 也 有 可 能 因为 被 防火 墙 过 滤 挤 IPsec- 
VPN 使 用 的 协议 编号 或 NAT traversal 使 用 的 端口 号 而 导致 失败 。 


2003 年 左右 随 着 SSL-VPN 技术 的 出 现 ， 只 要 个 人 计算 机 带 有 浏览 器 ， 束 能够 通过 反 向 代理 
方式 (reverse proxy) 完成 VPN 的 连接 。 更 加 值得 称道 的 是 SSL-VPN 使 用 的 是 几乎 所 有 防 
火 墙 都 不 会 拦截 的 、 用 于 HTTPS 的 443 端口 ， 这 使 得 VPN 远程 连接 摆脱 了 操作 系统 和 连接 
方式 的 限制 。 表 5-23 中 总 结 了 IPsec-VPN 和 SSL-VPN 的 不 同 之 处 。 


志 


4 国 


证 


表 5-23 IPsecVPN 和 SSL VPN 的 比较 


远程 接 入 型 IPsec-VPN SSL-VPN 


需要 专用 的 客户 端 软件 。 无 需 专 用 客户 端 软件 ， 只 需 带 有 Web 浏 览 器 即 可 


依赖 于 操作 系统 或 NIC 驱 动 。 不 受 操 作 系统 和 NIC 驱 动 的 限制 


生 将 要 通过 的 防火 墙 中 需要 设置 
多 个 安全 策略 (KE、ESP 用 的 端 | 使 用 防火 墙 允许 通过 的 HTTPS (TCP443) 端 
等 ) 。 


AT 环境 下 需要 NAT traversal 过 不 受 NAT 环 境 限制 


需要 注意 MTU 尺 寸 。 不 受 MTU 尺 寸 限 制 
需要 管理 个 人 计算 机 。 无 需 管 理 个 人 计算 机 
分 组 首部 小 于 SSL-VPN 。 分 组 首部 较 大 ， 数 据 吞吐 量 较 低 


上 apth wy gous | 使 用 反 向 代理 以 及 端口 转发 方式 (port forwarding) 时 只 有 TCP 协 议 上 特 
ee 的 应 用 移 序 可 以 支 竺 正道 传 输 使 用 隧道 方 式 时 网 络 居 以 上 的 所 及 议 
村 隧道 传输 


IPsec-VPN 在 网 络 层 上 实现 ， 因 此 能 够 完成 所 有 TCP 和 UDP 通信 的 加 密 与 隧道 传输 处 理 。 
而 SSL-VPN 在 会 话 层 实现 ，SSL 通信 在 基于 TCP 的 443 端口 运行 (图 5-27) 。 反 向 代理 方 
式 以 及 端口 转发 方式 只 能 对 特定 的 几 类 TCP 通信 进行 隧道 传输 。 对 于 包含 ICMP 和 UDP 等 
传输 层 通信 和 想 要 进行 隧道 传输 时 ， 只 能 选择 隧道 方式 。 


[tTom VA 


数据 链 路 层 


数据 链 路 层 
物理 


SSL-VPN 应 用 层 
E 表示 层 
. 要 
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图 5-27 IPsec-VPN 通信 与 SSL-VPN 通信 的 不 同 点 
。 反 向 代理 方式 


反 疝 代理 方式 也 称 为 无 客户 端 SSL-VPN 。 

SSL-VPN 集 器 (终端 装置 ) 在 443 号 端口 上 通过 HTTPS 完成 对 加 密 通信 的 解密 工作 
后 ， 转 换 为 80 号 端 的 HITP 通信 与 内 部 网 络 上 的 Web 服务 器 进行 交互 。 该 方式 只 有 
基于 使 用 80 号 端口 、 通 过 浏览 器 浏览 Web 的 应 用 程序 才能 使 用 

在 内 部 客户 端 访问 互联 网 时 进行 中 继 的 代理 服务 器 称 为 转发 代理 服务 器 。 如 果 访 问 方向 
相反 ， 0 器 内 部 网 络 服务 器 时 进行 中 继 的 代理 服务 器 则 称 为 反 向 
oY reverse proxy) 。 使 用 代理 服务 器 和 代理 服务 器 专用 硬件 都 可 以 组 成 相同 
端口 转发 方式 

端口 转发 方式 也 称 为 瘦 客 户 端 SSL-VPN 。 

该 方式 使 用 ActiveX 或 Java applet 等 浏览 器 插件 来 创建 个 人 计算 机 与 服务 器 之 间 的 SSL 
隧道 。 用 户 只 需要 登录 Web 门户 (SSL-VPN 网 关 ) 并 完成 认证 ， 就 能 够 下 载 相关 插 
件 。 通 过 设置 操作 系 红 先 内 部 通讯 处 理 ， 户 能 够 使 用 位 于 公司 内 部 网 络 特定 服务 器 上 的 
应 用 程序 ， 也 能 够 使 用 端口 固定 且 无 需 浏览 器 支持 的 TCP 应 用 程序 (如 E-mail) 。 有 
些 产品 还 能 够 支持 端口 号 变动 的 应 用 和 UDP 应 用 程序 等 。 

Juniper 公司 的 SA 系列 产品 便 提供 了 类 似 的 功能 ， 命 名 为 SAM (Security Application 
Manager) ， 而 且 SAM 还 分 为 对 应 Java applet 版 的 JSAM 和 对 应 ActiveX 版 的 WSAM 
两 种 。 

F5 公司 的 FirePass 也 提供 了 名 为 App Tunnel 的 类 似 功能 他 。 

隧道 方式 

隧道 方式 是 使 用 SSL-VPN 客户 端 软件 的 方式 。 

隧道 方式 和 IPsec-VPN 一 样 ， 支 持 网 络 层 以 上 所 有 协议 的 隧道 传输 。 

户 通 过 浏览 器 访问 SSL-VPN 硬件 并 完成 认证 后 ， 便 会 使 用 Java 等 程序 自动 下 载 相关 
安全 功能 的 应 用 程序 并 安装 在 用 站 的 个 人 计算 机 上 。 接 下 来 与 IPsec-VPN 一 样 ， 通 过 客 
户 端 软件 ee SSL-VPN 设备 之 间 的 隧道 ， 但 是 由 于 应 用 程序 的 设置 能 够 
在 SSL-VPN 硬件 上 进行 ， 安 装 和 执行 也 能 够 实现 自动 化 ， 因 此 隧道 方式 在 管理 上 相当 
更 捷 。 虽 然 不 同 的 厂商 不 能 一 概 而 论 ， 但 由 于 使 用 了 客户 端 软 件 ， 还 是 会 不 可 避免 地 受 
到 操作 系统 的 限制 。 

表 5-24 各 厂商 隧道 方式 的 功能 名 称 
厂商 、 产 品名 称 SSL-VPN 隧 道 方式 的 功能 名 称 
Cisco Systems ASA 系 列 、IOS SSL VPN CLIENT 
F5 FirePass 系 列 Network Access 
Juniper Networks SA 系列 Network Connect (NC) 
Palo Alto Networks NetConnect、GlobalProtect 
表 5-25 主要 的 SSL VPN 集中 器 产品 
系列 产品 
产品 名 称 照片 ( 某 系 列 产品 中 的 1 个 型 号 ) | 
户 数 注 1 
SSL-VPN 专 用 装置 
SA 系列 (基于 10~40,000 
Neoteris 公 司 的 产 
品 ) 


弄 Juniper 


F5 BIG-IP Edge 


Ci 300~40,000 
DELL SonicWALL 

p= A 25~20,000 
Aventail 系 多 eo/ -- 3 

ventail 系列 师 # 辐 “/ 赂 et 
Barracuda SSL-VPN 15~1,000 
Array Networks AG ws 
系列 10~128,000 
Check Point 系列 100~10,000 
防火 墙 、UTM 产 品 

Cisco Systems 
ASA5500 系 列 52:00 
Palo Alto Networks 
PA 系列 100~10,000 
Fortinet Fortigate 系 列 50~25,000 


注 1: 同时 连接 的 用 户 数 是 指 在 相同 系列 产品 中 能 够 支持 连接 的 用 户 数 的 范围 。 照 片 中 的 产品 型 号 能 够 支持 该 范围 内 
的 其 中 任何 一 个 数目 。 另 外 ， 也 有 些 产 品 会 根据 购买 的 许可 证 (license) 内 容 ， 对 文 持 的 最 大 连接 用 户 数 做 出 相应 调 


Hello Request 


Client Hello 


Server Hello 


Server Certificate* 


Server Key Exchange* 


Certificate Request* 


Server Hello Done 


Client Certificate* 


Client Key Exchange 


Certificate Verify* 
Finished 


Finished 


* 为 可 选项 
图 5-28 SSL 会 话 建立 的 序列 
。 主 机 检查 


支持 主机 检查 (Host Checker) 功能 的 SSL-VPN， 在 客户 端 同 SSL-VPN 装置 连接 时 ， 
能 够 对 所 连接 的 客户 端 主 机 进行 检查 ， 通 常会 检查 以 下 信息 。 


表 5-26 主机 检查 所 涉及 的 内 容 范 例 


是 否 安装 了 防毒 软件 检查 反 病 毒 软件 的 签名 版 本 信息 
是 否 安装 了 个 人 防火 寺 入 志和 定 的 浊 各 是 和 启动 本 认 加 区 隐 件 以 及 目 直到 和 人 


OS 和 Service Ee 、 补 丁 兼容 检查 特定 的 注册 信息 值 


MAC 地 址 检查 是 否 存在 特定 文件 


如 果 主 机 检查 结果 OK， 则 允许 客户 端的 SSL-VPN 连接 ， 这 时 就 能 够 从 公司 外 部 网 络 
访问 内 部 网 络 。 如 果 结 果 为 NG2 ， 则 拒绝 客户 端的 SSL-VPN 连接 ， 或 者 只 能 进行 软 
件 升级 等 特定 范围 内 的 访问 操作 。 


主机 检查 大 多 使 用 由 OPSWAT 公司 开发 的 工具 ”来 完成 。 


bn 


ey 


| 25 FirePass 于 2012 年 停止 销 其 后 继 产 品 BIG-IP APM/EDGE 也 提供 了 与 动态 App Tunnel 类 似 的 功能 
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| 26 即 No Good。 一 一 译 者 注 


. 
荐 
到 


的 私营 公司 ， 以 提供 安全 有 关 的 软件 产品 以 及 认证 


加 


= 2002 年 成 立 的 一 家 位 了 


05.07.07 DoS 


防御 


什么 是 DoS 攻击 ? 


DoS 是 Denial of 
提供 的 应 用 程 
能 够 完 


训 服 务 ， 如 客 
成 HTTP 服务 


Service 的 简 


° DoS 


称 ， 
户 端 发 起 HITP 请 
攻击 是 针对 


也 就 是 无 法 


月 


服务 器 


继续 提 作 


t 服 务 的 意思 。 这 里 的 服务 是 指 服务 器 
青 求 时 ， 服 务 器 如 采 能 够 做 出 HTTP 响应 就 表明 
以 及 网 络 硬件 发 起 的 攻击 ， 使 服务 器 以 及 网 络 


硬件 无 ; 


完成 


E 和 常 的 应 管 响 


Ms 


证 


时 


称 为 “ 


这 目 服务 攻击 "或 “服务 障碍 


从 而 使 应 用 服 
攻击 ” 


繁 按 


安 别人 


E 测 
< 有 


eng 
小 


为 


大 


或 
此 在 设计 时 往 


下 
入 


王 中 
可 噶 


屏 间 繁忙 


省 


DDoS 攻击 能 够 箱 


制造 出 


法 提供 服务 的 状态 。 
男 外 ，DoS 攻击 也 可 以 通过 利 


tH 远 超 


于 预 


的 家 人 不 知道 
如 “做 饭 * 等 家 
Dos oS 政 击 的 -和 


能 力 总 归 是 有 上 
而 无 法 处 理 。 
主 会 根据 预计 的 访 


务 程序 无 法 继续 提供 服务 。 因 此 ，DosS 攻击 也 


家 的 门铃 后 逃走 


这 是 恶 


， 将 DoS 攻击 理解 为 这 种 “ 门 
， 上 听 到 门铃 声 后 ， 也 频 党 跑 
家 中 日 常 所 要 做 的 事情 ) 被 搁 
在 Dos 中 ， 通 过 僵尸 网 络 的 多 个 跳 
(Distributed Denial of Service) 攻击 。 


如 果 在 某 一 时 刻 出 现 大 量 访 问 请 求 ， 
于 这 类 突 发 ; 状况 在 正 芝 党 业务 状态 下 
量 来 配备 相应 的 处 理 外 


DDoS 
限 的 ， 


也 


[一 


问 数 


先 设计 的 访问 


| 
LU 


操作 系统 或 程 


流量 使 系统 发 生 异 常 。 


DoS 攻击 的 种 类 
防火 墙 


会 针对 各 


表 5-27 主要 的 DoS 攻击 种 类 


和 


Ny 


里 


能 力 。 
， 从 而 使 得 被 攻击 的 系统 进 


入 无 


言 量 ) 


序 的 用 


量 的 通 


Zl 


长 不 同 的 DoS 攻击 做 出 防范 对 策 。 
表 5-27 列 出 了 主要 的 DoS 攻击 


攻击 名 称 


说 明 


向 


攻 刘 
务 的 状态 


对象 发 送 大 量 的 TCP SYN 分 组 ， 从 而 


Syn Flood | 时 


在 防 ， 
|, 便 
的 SYN 分 组 时 ， 


少 内 定义 每 
会 执行 


秒 允 


许 通过 防火 墙 上 


L 


内 SYN 分 人 
一 种 称 为 SYN Cookie 的 策略 来 应 对 。 


造成 服务 器 资源 过 度 消 耗 ， 
日 数量， 当 防火 墙 遇 到 网 


一 段 时 间 内 不 能 提供 服 


络 中 SYN 分 组 超过 该 域 
SYN Cookie 策 略 中 当 服 务 器 收 到 来 自 客户 端 


a 


并 


心 \ 


十 


口 


不 建立 TCP 连 接 ， 


是 将 TCP 


部 内 容 的 散 列 值 作为 序列 号 放 入 SYN-ACK 消 


Ho 


b 返 


。 随后 收 到 来 


客户 端 包含 正确 


向 应 编号 的 ACK 消 息 时 ， 才 将 会 话 信息 存储 在 内 存 


大 


比 ， 能 够 有 


效 防 


上 修改 了 首部 内 容 自 


的 分 组 攻击 对 服务 器 内 存 的 消耗 


ICMP 
Flood 


也 称 为 pi 


ing flood， 该 攻 
服务 器 进入 暂 时 
于 超过 该 值 的 ICMP 分 组 暂时 不 予 处 理 


四 可 


ay 


向 攻击 对 象 发 送 大 量 的 ICMP echo reg 


无 法 提供 服务 的 状态 。 防 火 墙 通过 定义 1 秒 内 能 够 允许 的 最 大 ICMP 分 组 数量 ， 对 


uest 分 组 来 消耗 服务 器 内 存 ， 使 得 


UDP Flood | ; 


攻击 对 


击 抬 


象 发 送 大 


和 


° 防火 墙 通过 定义 1 秒 内 


能 够 允许 的 最 


UDP 分 组 来 消耗 服务 器 内 存 ， 


使 得 服务 器 进入 暂时 无 法 
大 UDP 分 组 数量 ， 对 于 超过 该 值 


t+ 服务 的 
村 不 巴 


担 仁 


的 UDP 分 组 暂 


IP Flood 


攻击 对 象 发 送 


瑞 通 过 定义 1 和 风能 时 克 


的 IP 分 组 于 


许 的 


消耗 服务 器 内 
9 最 大 IP 分 组 数量 


服务 器 进入 暂时 无 法 提供 
交 值 的 IP 分 组 请 


过 该 


服务 的 状 
时 不 予 处 理 


Land 


只 攻击 对 


象 发 送 源 地 址 


的 地 


该 攻 击 
会 


为 不 断 向 


己 转发 数据 


进入 当 


址 相同 的 分 组 。 
和 机 的 状态 


受到 这 类 攻击 、 0 
。 防火 墙 对 于 收 到 的 这 类 分 组 一 律 


攻击 名 称 说 明 


该 攻击 向 攻击 对 象 发 送 经 过 伪造 的 ， 含 有 重 权 偏 移 量 (offset) 这 类 攻击 对 
Tear Drop | 于 较为 脆弱 的 硬件 而 言 ， 会 发 生 无 法 重新 生成 分 组 的 现象 发 生 ， 导 致 当 机 的 状态 。 防 火 墙 对 于 收 
到 这 类 分 组 时 ， 一 律 丢弃 


Ping of 该 攻击 向 攻击 对 象 发 送 超 过 IP 分 组 最 大 ] 0 (ICMP echo request) 信息 。 这 类 攻击 对 
Death 于 较为 脆弱 的 硬件 而 言 ， 会 导致 其 无 法 运行 的 情况 发 生 。 防 火 墙 对 于 收 到 的 这 类 分 组 一 律 丢 弃 


a 该 攻击 将 攻击 对 象 的 地 址 设置 为 发 送 源 并 广播 发 送 ICMP Echo Request 消 息 ， 使 得 攻击 对 
象 的 地 址 因 收 到 大 量 ICMP Echo Reply 消 息 而 消耗 带宽 资源 


E 
苦 
T 


和 属于 Smnurf 攻 击 的 子 类 型 ， 使 用 UDP 取代 ICMP 发 起 攻击 ， 并 同时 利用 echo、Chargen、daytime、 
Bg8 qotd 等 多 种 端口 。 防 火 墙 一 般 将 关闭 该 类 型 端口 或 使 用 安全 策略 进行 拦截 作为 防范 对 策 

Connection | 及 复生 成 大 量 长 时 间 为 open 状 态 太 的 连接 ， 从 而 占据 攻击 对 象 的 套 接 字 人 (socket) 资源 。 如 果 服 务 

Flood 器 端 没 有 最 大 连接 数目 的 限制 ， 就 会 发 生 系统 崩溃 。 该 攻击 也 称 为 Unix 进 程控 制 表 (Unix 
process table) 攻击 

pe 该 攻击 在 Web 浏 览 器 中 连续 按 下 F5 键 ， 使 得 Web 页 面 反复 执行 刷新 操作 ， 因 此 也 称 为 F5 攻 击 。 在 
Web 通 信 较 大 时 ， 会 让 服务 器 负载 加 剧 

Dos 防御 功能 


Dos 的 防御 功能 也 就 是 限制 被 判定 为 DoS 攻击 的 异常 高 速率 通信 流量 的 功能 ， 一 般 通 过 设 
置 区 域 、 网 络 接口 、 网 络 等 单位 来 实现 。 


另外 ，Dos 防御 也 可 以 拦截 具有 非法 内 容 或 低 安 全 性 的 分 组 ， 这 类 分 组 交 由 防火 墙 或 下 游 路 
由 器 处 理 的 话 ， 会 导致 额外 资源 的 浪费 (CPU 以 及 内 存 使 用 率 上 升 ) ， 因 此 需要 使 用 专门 
的 DoS 防御 功能 来 阻挡 该 类 攻击 。 

端口 扫描 防御 

攻击 者 在 发 起 攻击 前 ， 会 对 攻击 对 象 的 硬件 情况 进行 调 ， 这 时 最 为 基础 也 最 为 惯用 的 仗 个 
更 是 端口 扫描 (port scan) ， 也 称 为 port sweep。 端 口 扫描 大 致 分 为 和 扫描 以 及 UDP 
端口 扫描 两 大 类 对 TCP 端口 以 及 UDP 端口 顺序 发 送 分 组 进行 通信 ， 探测 目标 机 器 是 
否 开 启 了 对 应 的 服务 。 例 如 某 台 设备 的 扫描 结果 为 开启 了 23 号 端 
备 开 启 了 Telnet 服务 ， 从 而 可 以 利用 Telnet 服务 访问 该 设 发 起 后 续 攻 击 。 

这 类 在 发 起 攻击 前 进行 的 信息 搜集 行为 也 称 为 “侦查 ”(Reconnaissance) 。 
防火 墙 能 够 探测 出 端口 扫描 行为 的 存在 从 而 阻 断 该 行为 。 

表 5-28 总 结 了 主要 的 端口 扫描 类 型 。 


表 5-28 端口 扫描 类 型 


到 


一 


H 


名 称 内 容 


es en 全 部 进行 扫描 ， 或 者 是 在 一 定 范围 内 扫描 端口 从 而 探测 服务 器 有 哪些 端 
训 可 以 使 用 (图 5-29) 
扫 扫描 过 程 是 向 端 a (SYN) 和 | 向 应 的 TCP (SYN+ACK) 分 

组 ， 则 判定 该 端 于 打 。 如 果 该 端口 关闭 ， 则 会 从 服务 器 处 收 到 TCP (RST+ACK) 分 组 


诉 


名 称 内 容 


SYN | 属于 TCP 端 口 扫描 的 一 种 ， 无 需 完成 3 次 握手 过 程 ， 直 接 针对 回复 消息 中 的 SYN 分 组 进行 端口 扫描， 
萤 吕 | 也 称 为 半 扫 括 haltscan) “在 3 居所 手 过 程 中 ， 委 所 服务 器 回复 的 是 ACK 消 息 还 是 RST 尘 息 来 油灯 某 
是 否 打开 


ACK | 为 了 回避 防火 墙 对 SYN 端 口 扫描 的 检测 ， 向 服务 器 发 送 ACK 分 组 ， 根据 回复 的 RST 分 组 尺寸 的 大 
端 小 来 判断 端口 开关 状态 (图 5-30) 。 该 类 型 端口 扫描 对 于 在 端口 打开 或 关闭 时 会 发 送 不 局 尺寸 分 


到 


出 | 向 服务 器 发 送 TCP 首 部 所 有 标志 位 为 0 的 分 组 ， 通 过 服务 器 是 否 返回 RST+ACK 分 组 消息 来 判断 服务 器 
扫 端口 是 否 打开 
由 
FIN 端 
J] 扫 | 向 及 务 器 发 送 FIN 分 组 ， 根 据 是 否 收 到 RST+ACK 分 组 来 判断 某 端口 是 否 打 
由 
Xmas 
- 向 服务 器 发 送 TCP 首 部 标志 位 均 置 为 1 的 分 组 ， 根 据 是 否 收 到 RST+ACK 分 组 来 判断 某 端口 是 否 打 
习 描 


UDPI | 对 UDP 的 0 号 到 65535 号 端口 全 部 进行 扫描 ， 或 这 是 在 一 定 范围 内 扫描 端口 从 而 探测 服务 器 有 哪些 端 


i R 

扫描 | 可 以 使 

Host | 向 大 量 的 主机 发 送 ICMP 分 组 或 TCP 分 组 ， 如 果 获 得 应 答 则 根据 返回 的 应 答 消息 判断 主机 是 否 存在 ， 

Sws。 | 并 获得 主机 上 都 运行 了 哪些 应 用 程序 等 信息 。TCP SYN Host Sweep 会 同时 向 多 台 主 机 的 相同 端口 发 
WeeP | 送 TCP SYN 分 组 。sweep 在 这 里 有 “席卷 * 的 意思 


TCP 端 口 打开 时 


三 次 握手 接收 方 


RST+ACK 
针对 SYN 分 组 返回 RST 分 组 


图 5-29 根据 TCP 端口 扫描 确认 端口 是 否 打 开 的 方法 


即使 防火 墙 丢 弃 了 SYN 分 组 ， 只 要 ACK 分 组 能 够 通过 防火 墙 ， 


同样 能 够 根据 返回 的 RST 分 组 来 判断 端口 是 否 打 开 


图 5-30 ACK 端口 扫描 
05.07.08 ”防范 基于 分 组 的 攻击 


上 全 已 


FF 有 已 


防火 墙 
火 墙 能 


可 月 


同 检 


够 防范 使 月 
够 防范 的 非法 分 组 攻 


表 5-29 ”基于 分 组 的 攻击 


非法 


分 组 


~、»> 


根据 RST 的 窗口 尺寸 来 判断 
端口 是 否 打开 


这 类 基于 分 


的 主要 类 型 。 


的 DoS 攻击 和 非法 入 侵 。 表 5-29 j 


攻击 类 型 


内 容 


IP 地 址 其 
骗 (IP 
Spoofing) 


碎片 分 组 


为 了 突破 限制 访 


问 的 防火 


方式 本 在 DoS 攻 击 十 以 及 非法 入 侵 中 


彰 过 滤器 0 


志 记 录 ， 


Bp 


伪造 IP 


口 


碎片 的 IP 分 组 


于 安全 性 较为 脆弱 ， 容 易 被 


能 。 但 如 果 分 组 


与 通信 链 


证 路 MTU 大 小 一 致 ， 


ei 


贝 


此 防火 墙 
1 不 会 发 生 碎片 ， 


该 功 


中 发 送 源 JP 地址 的 攻击 


p 通 常会 设置 拦截 碎片 分 组 功 
能 也 不 会 影响 正常 的 通信 


ICMP 碎 片 


同 IP 碎 片 分 组 类 1 


以 ， 防 火 墙 也 设置 了 拦截 ICMP 分 组 碎片 的 功能 


巨型 ICMP 
分 组 


通过 设置 防火 墙 


兰 截 一 定 大 小 以 上 的 ICMP 分 组 ， 从 而 避免 Ping of Death 攻 击 


ICMP 分 组 
按 类 控制 


根据 ICMP 


部 中 的 类 型 以 及 代码 值 ， 对 


ICMP 分 组 进行 


区 别处 理 。 对 了 


在 接收 到 的 消 ， 


加 


中 发 现 消 


首部 出 现 了 未 预定 义 值 或 未 被 支 
防火 墙 对 这 类 蕴 法 的 ICMP 分 组 也 以 拦截 


持 客 


性 缠 


端 等 情况 时 ， 


需要 进行 额外 的 异常 处 理 。 此 


站 布 望 通过 


SYN 以 外 
的 TCP 分 
组 控制 


TCP 会 话 开始 前 ， 


为 1 的 TCP 分 组 ， 入 可 能 就 是 端 


会 发 送 SYN 分 组 。 如 果 在 尚未 


确认 的 TCP 会 话 


扫描 等 攻击 


和 


这 时 就 需要 通过 防火 墙 拦截 该 类 分 组 


FP 收 到 了 除 SYN 以 外 的 标 


My 


志 位 


5 


IPv6 多 播 / 


源 


IPv6 


尚未 完全 普及 ， 也 可 能 


全 


EC 存在 安全 漏洞。 


信 ， 


泄露 网 络 中 存在 使 


但 如 果 出 现 发 送 源 为 该 类 型 地 址 


时， 


般 
则 有 可 全 


的 地 


日 
是 经 


IPv6 主 机 现象 发 生 时 ， 


可 以 通过 防火 墙 


兰 截 发 送 源 地 址 为 IPv 


分 组 


引 为 IPv6 多 播 或 单 播 地 革 
过 伪装 的 分 组 发 起 的 攻击 。 为 了 
6 单 和 


| 


防 


05.07.09 ”基于 内 容 的 扫描 


2 


2004 年 左右 ， 


指 以 应 
IDS/IPS 


可 


各 个 厂商 发 布 了 配 有 多 个 基于 


程序 数据 作为 防火 墙 的 监控 对 象 (文件 


内 容 扫描 功能 的 UTM 防火 墙 


o 


或 命令 ) 


[总 了 防 


IDS (Intrusion Detection System) 即 入 侵 检 测 系 统 ，IPS (Intrusion Prevention System) 即 入 
侵 防御 系统 二 者 合 称 为 IDS/IPS。 二 者 共同 的 Intrusion 是 指 怀 有 恶意 的 用 户 通过 网 络 或 终 
端 进行 的 非法 入 受 行 为 。 


IDS 系统 负责 检测 非法 入 侵 告知 系统 管理 员 ， 而 IPS 系统 则 通过 设置 对 非法 入 侵 所 使 用 的 
协议 以 及 应 用 程序 进行 拦截 


二 者 还 能 够 对 路 由 器 访问 控制 列表 和 防火 墙 无 法 防范 的 伪装 性 正常 访问 予以 阻止 。 
IDS/IPS 能 够 检测 出 下 列 威胁 。 


。 DoS 攻击 


。 P2P 造成 的 信息 泄露 
。 运行 蠕虫 、 特 洛 伊 木 马 、 键 盘 记 录 器 等 恶意 软件 
。 入侵 Intranet 与 入 侵 侦查 行为 

另外， 当 IDS/IPS 检测 到 入 侵 行为 后 ， 会 做 如 下 人 处理。 
。 通知 管理 员 (通过 电子 邮件 或 SNMP 等 方式 ) 


eu 


。 拦截 通信 (向 攻击 方 发 送 TCP RST 消 , 


Deep Inspection 


ScreenOS 带 有 名 为 ALG 的 Deep Inspection 功能 。 


防火 墙 的 Deep Inspection 功能 能 够 针对 表 5-30 中 列 出 的 


jj 层 协 议 ， 重 组 (assemble) 应 用 


长 [区 
于 型 
[ma 
HH 
4 
小 
洋 


程序 数据 流 中 的 TCP 数据 段 ， 检 测 其 中 是 否 包 含 了 非法 应 
表 5-30 实施 Deep Inspection 功能 的 协议 清单 


DNS PPTP APPLEICHAT 
FTP REAL SIP 

H.323 RSH SQL 

HP RTSP SUNRPC 
MGCP SCCP TALK 
MSRPC SCTP TFTP 

XING 


在 FTP 中 ， 还 能 够 通过 人 允许 / 拒绝 策略 来 控制 GET 以 及 PUT 等 命令 级 别 的 操作 。 


对 于 由 SIP 或 H.323 这 类 多 协议 以 及 数据 流 组 成 的 应 用 程序 通信 ，Deep Inspection 功能 同样 
可 以 识别 允许 通过 的 数据 流 并 动态 生成 防火 墙 针 孔 (pin hole) ， 即 防火 墙 上 人 允许 数据 流通 
过 的 小 孔 (在 安全 策略 允许 的 前 提 下 ) 。 以 SIP 协议 为 例 ，IP 电话 的 语音 数据 通过 RTP 
(Real-time Transport Protocol) 协议 的 哪个 端口 号 来 完成 通话 终端 之 间 的 信息 交互 ， 是 在 
SIP 会 话 控制 中 协商 的 。 这 时 防火 墙 即使 没有 设置 允许 RTP 使 用 的 端 日 只 要 设置 了 允许 
SIP 端口 ， 就 会 在 语音 数据 开始 传输 时 自动 打开 RIP 端口 供用 户 使 用 。 


在 能 够 基于 应 用 程序 识别 的 新 一 代 防 火 墙 中 都 能 完成 上 述 的 类 似 处 理 。 
IDS/PS 以 及 Deep Inspection 均 能 够 检测 并 拦截 表 5-31 所 列 出 的 攻击 类 型 。 


表 5-31 IDS/IPS 能 够 检测 的 攻击 范例 


脆弱 性 攻击 类 型 说 明 
信息 泄露 攻击 者 利用 带 有 恶意 脚本 的 邮件 或 附带 恶意 软件 的 URL 地 址 发 起 的 攻击 。 攻 击 成 功 的 
话 ， 能 够 获取 受 攻击 方 的 机 密 信 息 
执行 代码 向 服务 器 发 送 非法 数据 ， 使 得 被 攻击 的 服务 器 接受 并 执行 位 于 远程 地 理 位 置 的 代码 
Dos 攻 击 0 内 存 负 担 上 升 ， 妨 碍 服务 器 (或 程序 ) 正常 提 
人 | 六 J TI 
缓存 注 昌 “Butter | 通过 恶意 程序 诱导 被 攻击 服务 器 运行 内 存 超过 上 限 ， 导 致 缓存 溢出 的 攻击 
SQL 注入 针对 Web 应 用 程序 ， 使 用 数据 库 SQL 语 言 对 数据 库 进 行 非法 操作 的 攻击 
暴力 破解 (Brute 也 称 为 循环 攻击 ， 使 用 密码 字典 等 工具 反复 党 试管 理 员 口 令 的 攻击 手法 。 为 了 防止 该 类 
Force Attack) 攻击 ， 需 要 执行 类 似 了 今 3 次 输 馆 风 切断 会 话 的 策略 
芷 训 有 本 攻击 。 | 简称 为 ss 或 XSS。 利 用 Web 应 用 程序 的 脆弱 性 ， 在 提交 页 面 表单 时 ， 通 过 服务 器 执行 携 
Beriptina, e 带 HTML 标 签 的 脚本 ， 从 而 达到 劫持 会 话 或 钓鱼 的 目的 
exploit 攻 击 利用 软件 脆弱 性 发 起 的 攻击 中 使 用 的 程序 或 脚 才 
浏览 器 劫持 通过 操纵 携带 恶 意 软件 的 浏 览 器 ， 在 用 户 浏览 Web 页 面 时 算 改 显示 的 页 面 形式 和 内 容 。 
般 会 导致 持续 弹出 广告 烂 、 自 动 添加 URL 连 接 以 及 跳 转 其 他 网 页 失败 的 情况 
钓鱼 使 用 携带 伪造 官方 网 站 站 点 URL 链 接 的 邮件 或 网 站 ， 骗 取 用 户 的 个 人 信用 卡 以 及 银行 账 
僵尸 网 络 通过 僵尸 程序 感染 多 人 台 个 人 计算 机 ， 并 根据 攻击 方 命令 同时 发 送 垃圾 邮件 和 实施 DoS 等 
站 攻击 。 主 要 通过 使 用 IRC (Internet Relay Chat) 对 僵 尸 下 达 进攻 命令 
。 CVE 
IPS 和 Deep Inspection 一 般 会 给 检测 出 的 安全 脆弱 性 添加 CVE 标识 编号 。 
CVE (Common Vulnerabilities and Exposures， 通 用 脆弱 性 标识 ) 是 到 政府 支持 的 非 
盈利 机 构 MITRE 公司 采用 的 识别 标识 。 该 机 构 会 为 软件 以 及 设备 产品 发 现 的 安全 脆弱 
性 问题 分 配 一 个 CVE 识别 编号 (CVE-ID) ， ， 当 安全 厂商 提 从 多 个 脆弱 性 防范 对 策 时 
通过 使 用 该 标识 告知 用 户 某 对 策 针对 的 是 哪个 I 。CVE 标识 编号 如 表 5- 
32 所 示 ， 以 “CVE- (公元 纪年 ) - (4 字符 编号 ) ”的 格式 记录 ， 表 明 使 用 该 编号 的 安全 
脆弱 性 问题 已 广为人知 。 
表 5-32 ”CVE 识别 编号 范例 
CVE 识 别 编号 内 容 


CVE-2006-0900 


FreeBSD nfsd NFS Mount Request Denial of Service 


CVE-2007-2881 


Sun Java Web Proxy Server Buffer Overflow Vulnerability 


CVE-2009-1923 


Microsoft Windows WINS Service Heap Overflow Vulnerability 


反 病 毒 


在 终端 安 


反 病 毒 也 称 为 防 病毒 对 策 ， 


病毒 侵袭 。 


通过 在 个 


装 防 病毒 软件 的 


[通过 


置 位 于 互联 网 网 


方式 称 为 主机 型 防 病毒 。 


关 的 防火 墙 以 及 专用 设备 ， 对 网 络 上 所 有 传输 的 通信 数据 


人 计算 机 和 服务 器 上 安装 防 病毒 软件 来 保 # 


机 免 遭 


行 扫描 


攻击 网 络 的 发 生 


称 为 “网关 型 防 病毒 ”。 使 用 


| 


O 


关 型 防 病毒 ， 能 有 效 防 止 Intranet 中 病毒 的 莫 延 以 及 


网 关 型 防 病 


网 关 型 防 病毒 的 优点 与 主机 型 防 病毒 的 缺点 


存在 病毒 的 处 理 操作 称 为 扫描 (scan) 或 病毒 扫描 。 主 机 型 防 病毒 的 扫描 在 计算 机 
， 而 的 扫描 在 通信 流量 中 完成 。 二 者 的 此 交 结果 如 表 5-33 和 靶 


网 关 型 防 病毒 的 优点 


主机 型 防 病毒 的 缺点 


一 针对 客 


能 够 对 所 有 客户 端 实施 相同 的 策略 
户 机 PC 以 及 虚拟 PC 的 对 策 


客户 机 PC 以 及 虚拟 PC 无 法 采用 相同 的 安全 策略 


行 


不 依赖 客户 端的 操作 系统 


2 全 即使 操 作 系 统 停止 支持 


也 不 影响 扫描 的 “| 很 难 应 用 于 停止 支持 或 不 支持 的 操作 系统 


了 为 客户 端 安装 软件 以 及 升级 软件 的 麻 “| 所 有 的 客户 端 都 需要 安装 软件 ， 耗 费 精力 


长 5-44 所 


户 无 法 主观 停止 扫描 过 程 


户 可 以 主观 停止 扫描 或 升级 


能 够 防止 来 自 内 部 客户 端的 病毒 


法 检测 


虽然 能 够 扫描 外 部 流入 数据 ， 但 对 于 已 经 感染 的 文件 通信 则 无 


能 够 通过 网 关 设 备 对 日 志 、 报 告 等 信 
化 管理 


魏 
施 统 志 等 保存 在 各 台 PC 上 ， 统 一 化 管理 需要 其 他 系统 支持 


表 5-34 主机 型 防 病毒 的 优点 与 网 关 型 防 病毒 的 缺点 


主机 型 防 病毒 的 优点 


点 


网 关 型 防 病毒 的 缺点 


不 依赖 于 具体 的 通信 协议 


不 支持 所 有 的 通信 协议 


加 
其 他 厂商 仅 支持 FTP、HTTP 以 及 电子 邮件 协议 


一 Palo Auto 公 司 产品 支持 FTP、HTTP、IMAP、POP3、SMB、STMP 协 


能 够 对 所 有 接收 的 文件 进行 扫描 


无 法 对 所 有 文件 进行 扫描 


能 够 对 具体 安装 的 操作 系统 进行 定 
制 扫 描 


一 例如 附带 密码 的 压缩 文件 等 


防 病毒 软件 扫描 通过 防毒 


各” (signature) 
毒 等 。 表 5-35 列 出 


上 了 防毒 软件 所 能 检测 的 病毒 《恶意 软件 ) 类 型 


表 5-35 防毒 软件 能 够 检测 的 恶 


引擎 (engine) 程序 完成 ， 防 毒 引 擎 使 用 名 为 “特征 
或 “病毒 定义 文件 ”的 数据 库 ， 判 断 在 条 捕 对 象 中 是 否 在 在 


| 


册 过 


O 


意 软 件 类 型 


的 病 


恶意 软件 说 明 


病毒 ( 计 | 通过 Web 站 点 以 及 于 邮件 附件 等 入 侵 计算 机 系统 ， 趁 用 户 未 察觉 之 际 ， 修 改 计算 机 运行 方式 的 
算 机 病 程序 。 病 毒 入 0 机 称 为 “感染 "， 会 造成 显示 画面 异常 以 及 磁盘 文件 损坏 等 现象 。 病 毒 程序 能 
毒 ) 够 自我 运行 ， 自 我 复制 〈 繁 殖 ) 


蠕虫 反复 自我 繁殖 并 破坏 数据 的 程序 。 病 毒 只 4 序 文件 ， 而 蠕虫 则 能 够 存在 于 Word、Excel 文 档 
和 的 内 部 ， 并 能 通过 发 送 附带 感染 文档 的 电子 邮件 来 进行 繁殖 


为 装 成 合法 文档 的 破坏 程序 。 利 用 互联 网 上 可 免费 下 载 的 共享 软件 诱导 用 户 下 载 带 有 木马 的 应 


特 洗 仇 林 程序。 同 病 毒 不 同 的 是 ， 木 马 程序 自身 不 会 繁 殖 。 如 果 运 行 了 含有 木马 的 恶意 程序 ， 则 会 造成 数 
= 据 损 失 或 被 盗用 的 严重 后 果 


Ey 


J 机 内 部 信息 以 及 Web 浏 览 占 访问 的 历史 记录 在 没有 得 到 用 户 许可 的 前 提 下 ， 擅 
方 发 送 的 程序 。 通 过 间谍 软件 盗 取 的 用 户 信息 ， 可 能 会 用 于 在 线 广告 以 及 调查 统计 等 领 


bly 


间谍 软件 


要 | 


Nan 
t 


户 画 面 中 强制 弹出 广告 的 程序 。 英 文 为 adware，ad 表 示 广 告 (advertisement) 。 有 时 仅仅 是 
告 ， 有 时 则 是 可 以 使 用 的 免费 软件 


病毒 、 蠕 虫 人 间谍 软件 、 广告 软件 这 类 带 有 “恶意 ”的 程序 (软件 ) 总称。 英语 为 
恶意 软件 “|malware，mal 前 绥 表 示 剑 有 恶意 的 意思 。 软 件 以 及 硬件 如 果 带 有 “恶意 软件 防范 ， 和 传 字样 则 于 
示 能 够 防范 恶意 软件 带 来 的 。 也 可 以 称 为 不 良 软件 (badware) 


犯罪 软件 | 以 犯罪 为 目的 编写 并 使 用 的 软件 

键盘 记录 “| 用 于 记录 键盘 输入 内 容 的 软件 。 原 本 该 类 软件 在 Telnet 等 用 于 确认 发 送 命令 ， 但 后 来 也 被 用 于 次 

软件 区 目 卡 账号 、 密码 等 不 良 用 途 。 一 般 隐蔽 安装 在 网 吧 等 不 特定 多 人 使 的 计算 机 中 记录 信 

已 并 生成 报 五 

屏幕 记录 | 一 定时 间 间 隔 内 ， 定 期 捕获 屏 (screen shot) 的 软件 。 该 类 软件 还 会 将 捕获 的 画面 以 电 寺 

软件 b 件 的 形式 发 送 ， 常 于 次 取 网 络 电 行 密 人 码 等 

后 门 软件 | 入 侵 服务 器 等 系统 的 破解 者 在 实施 恶意 操作 时 使 用 的 工具 的 集合 。 对 于 恶意 软件 不 时 针对 “安全 
(rootkit) | 漏洞 "发 起 的 进攻 ,希望 A 安装 最 新 补丁 来 予以 避免 


。 基于 文件 和 基于 数据 流 的 网 关 型 防 病毒 


人 
(flow) 。 


0 
动 开局 扫描 

基于 数据 流 型 是 新 型 防 病毒 方式 ， 无 需 等 待 文件 整体 接收 完毕 ， 而 是 接收 到 文件 开头 部 
分 的 分 组 时 便 能 立刻 开启 扫描 。 扫 描 结束 后 转发 文件 时 ， 也 同样 无 需 等 竺 件 整 体 扫 描 
结束 ， 而 是 直接 将 完成 扫描 的 分 组 直接 转发 即 可 。 该 类 型 同 基 于 文件 型 扫描 相 比 ， 等 待 
时 间 大 幅 缩 短 ， 实 现 的 延迟 很 低 (图 5-31) 。 


ea 


接收 有 效 载荷 


后 撞 有 效 副 共 


用 有 区 各 和 


接收 有 效 载 答 


扫描 有 效 载 答 


发 送 有 效 载 丛 


基于 文件 型 


图 5-31 基于 数据 流 型 同 基于 文件 型 的 延迟 比较 
表 5-36 ”基于 数据 流 型 的 优点 与 基于 文件 型 的 缺点 


基于 数据 流 型 的 优点 基于 文件 型 的 缺点 
@ Re ns ks 
© 由 村 
守 叶 。 扫 措 受 文件 大 小 尺寸 限 抽 
@ 扫描 能 够 不 受 文件 大 小 \ 限 制 区 写 发 式 和 扫描 (heuristic epi) 误 检 率 很 高 


表 5-37 ”基于 文件 型 的 优点 与 基于 数据 流 型 的 缺点 


基于 文件 型 的 优点 基于 数据 流 型 的 缺点 

e 能 够 支持 zip/gzip 以 外 的 

i 。 不 支持 ziplgzip 以 外 的 压缩 算法 

。 能 够 解压 展开 深层 级 e 通过 压缩 算法 也 只 能 够 展开 较 小 层级 的 目录 (Palo Alto Networks 产 品 中 

“能 名 复原 整个 文件 扫描 | 也 最 多 只 能 展开 2 层 ) 

一 执行 启发 式 扫描 
基于 文件 的 网 关 型 防 病毒 装置 同 基于 数据 流 型 的 装置 相 比 ， 虽 然 能 够 扫描 更 多 的 文件 ， 
但 仍 无 法 扫描 那些 附带 密码 、 加 密 、 不 支持 协议 等 文件 ， 因 此 这 些 文件 还 是 需要 通过 客 
户 端 上 的 主机 型 防 病毒 来 进行 扫描 ( 表 5-37) 。 
基于 文件 型 的 装置 是 耗费 CPU 资源 对 积累 并 复原 的 文件 进行 扫描 ， 因 此 设备 的 吞吐 率 
一 般 只 能 维持 在 几 M 到 几 百 Mbit/s 之 间 ， 不 得 不 说 这 是 一 个 缺点 。 另 外 ， 在 遇 到 大 文 
牛 时 ， 从 扫描 启动 到 扫描 结束 也 需要 花费 几 分 钟 到 几 十 分 钟 不 等 ， 在 这 期 间 用 户 无 法 使 
用 文件 ， 从 网 关 处 下 载 文件 也 需要 耗费 大 量 时 间 。 另 外 ， 如 果 不 同时 使 用 基于 web 浏 
览 器 的 重 定向 控制 或 1CAP Trickle ” 等 回避 手段 ， 就 会 导致 在 网 关 扫描 期 间 ， 端 到 端的 
会 话 丢 失 ， 从 而 永远 无 法 获取 目标 文件 ， 这 样 的 风险 同样 需要 引起 用 户 注意 。 


上” 本 质 上 是 利 


在 HTT message 上 执行 RPC 远程 过 程 调 


， 通 过 ICAP 协议 进行 数据 的 分 流 。 一 一 译 者 注 


反 垃 圾 邮件 


垃圾 邮件 是 指 骚 扰 邮 件 (spam mail) 、 广 告 邮件 和 欺诈 邮件 等 ， 很 多 产品 提供 了 过 滤 这 类 
垃圾 邮件 的 反 垃圾 邮件 功能 。 
虽说 该 功能 同 基于 内 容 的 扫描 如 出 一 界 ， 但 反 垃 圾 邮件 很 容易 引发 误 检 。 如 果 将 非 骚 扰 邮 件 
归档 到 了 骚扰 邮件 中 ， 则 有 可 能 丢弃 了 本 应 该 接收 的 邮 牛 ， 这 一 点 必须 引起 注意 。 
DLP 
DLP 是 Data Loss Prevention 或 Data Leak Prevention 的 缩写 ， 即 防范 信息 泄露 功能 。 
该 功能 检测 网 络 上 交互 的 应 用 程序 数据 内 容 ， 当 发 现存 在 特定 文件 或 数据 时 ， 及 时 执行 告 
警 、 断 开会 话 、 沁 录 日 志 等 操作 。 
对 于 机 构 而 言 ， 该 功能 还 可 以 识别 该 机 构 机 密 数 据 的 文字 序列 、 文 件 名 以 及 文件 类 型 等 ， 防 
止 机 密 数 据 从 内 部 泄露 到 外 部 。 
有 些 产品 还 能 够 应 用 该 功能 ， 对 于 来 自 外 部 入 侵 的 或 内 部 之 间 转 发 的 恶意 软件 (可 执行 文 
件 ) 及 时 予以 检测 、 删 除 并 告知 用 户 。 
该 功能 最 主要 由 “文件 过 滤 ” 与 “数据 过 滤 ” 两 大 部 分 组 成 。 
表 5-38 DLP 功能 

功能 说 明 

文件 | 通过 检测 会 话 内 交互 的 文件 信息 ， 阻 拦 不 必要 文件 的 流入 和 涉 密 文件 的 流出 。 一 般 对 文件 的 名 称 、 扩 

过 滤 | 展 名 、 文 件 内 部 数据 进行 解析 后 分 类 ， 从 而 判断 文件 是 否 有 必要 阻拦 

通过 检测 会 话 内 交互 的 数据 信息 ， 发 现 匹 配 特 定 关键 字 的 数据 便 予 以 丢弃 或 告警 
URL 过 滤 
URL 过 滤 功 能 是 指 在 HTTP 通信 中 ， 当 客户 端 向 服务 器 发 起 请 求 时 ， 能 够 对 URL 信息 进行 
检查 ， 判 断 该 URL 是否 能 够 访问 ， 并 对 不 友好 的 Web ， 六 点子 以 拦 蕉 的 功能 通常 作为 通用 
服务 器 上 的 软件 、 专 用 装置 、 防 火 墙 装 置 以 及 代理 服务 器 的 功能 之 提供 给 户 。 
例如 ， 提 供 移动 通信 服务 的 运营 商 同 用 户 签署 了 禁止 向 未 成 年 人 提供 有 害 站 点 访问 的 服务 条 
款 ， 该 条 款 的 具体 实现 就 是 通过 URL 过 滤 功 能 完成 的 。 
另外 ， 普 通 公 司 、 学 校 等 地 方 会 有 禁 BE 户 访问 与 工 作 、 学 业 无 关 站 点 的 规定 ， 或 者 需要 禁 
止 防 问 钓 鱼网 站 、 易 被 蠕虫 病毒 等 感染 的 网 站 时 ， 这 类 控制 也 会 通过 URL 过 滤 实 现 。 
URL 过 滤 功 能 分 为 “数据 库 型 * 和 “ 云 服 务 型 "两 大 类 。 
数据 库 型 URL 过 滤 使 用 了 称 为 URL 信息 目录 的 群 组 分 类 数据 库 。 管 理 员 通 过 设置 禁止 访问 
URL 类 别 ， 便 能 够 在 用 户 访问 这 类 URL 地 址 时 向 用 户 弹出 告警 信息 。 
管理 员 同 样 能 够 使 用 静态 生成 的 数据 库 信 息 进 行 URL 过 滤 。 这 时 ， 能 够 访问 的 URL 数据 库 
称 为 “ 白 名 单 ”， 不 能 访问 的 URL 数据 库 则 称 为 * 黑 名 单 ”。 
虽然 数据 库 能 够 做 到 定期 更 新 ， 但 同时 拥有 世界 上 所 有 的 URL 信息 在 物理 层面 上 是 无 法 实 
现 的 。 寻 此 ， 后 来 针对 这 类 问题 新 开发 了 云 服务 型 的 URL 过 小。 


云 服 务 型 的 URL 过 滤 中 ， 服 务 供应 商 负 责 控制 互联 网 上 的 分 类 服务 器 并 向 服务 器 发 送 用 户 
0 和 。 分 类 服务 器 根据 收 到 的 URL 数据 ， 对 实际 Web 站 点 访问 的 内 容 进 行 确 
] 八 ， 硝 


05.07.10 ”监视 、 报 告 功 能 
监视 功能 是 防火 墙 的 重要 功能 之 一 ， 表 5-39 列 出 了 监视 功能 的 几 个 方面 。 
表 5-39 防火墙 的 监视 功能 


监视 ne 的 实时 状态 予以 监视 ， 及 时 观测 通信 流量 状态 以 及 故障 信息 。 当 发 生 
(monitoring) | 故障、 异常 情况 以 及 出 现 预定 义 事件 时 ， 能 够 即使 告警 通知 管理 员 
告警 通知 Rs 发 生 故 障 以 及 出 现 预定 义 事件 时 ， 向 管理 员 进 行 告警 通知 。 告 
a RE 送 电子 
B 
流 `、 事件 等 各 类 日 志 的 功能 。 根 据 不 同 的 防火 墙 产 品 ， 日 志 能 够 导出 为 纯 
a rs ee 
日 志 种 类 说 明 
通信 流 记录 依据 安全 规则 允许 或 拒绝 的 通信 。 一 般 在 会 话 结束 时 记 
志 (会 话 ) | 录 ， 一 个 会 话 占据 日 志 的 一 行 。 
AV 日 志 、 | 属于 通信 流量 日 志 的 一 种 ， 记 录 由 反 病 毒 、IPS 、URL 过 滤 竺 
日 志 获取 URL 过 滤 人 险 测 出 的 恶意 软件 以 及 目的 地 URL 地 址 信息 
(logging) 志 等 人 
事件 日 志 于 记录 类 似 网 络 接口 开 闭 、 签 名 获取 情况 、VPN 连 接 情况 
(系统 等 系统 发 生 的 各 类 事件 的 日 志 。 其 中 包括 系统 事件 发 生 的 时 
志 ) 间 、 重 要 级 别 、 事 件 种 类 、 事 件 内 容 等 。 
设 i 管理 员 变 更 设备 设置 时 记录 的 日 志 。 有 时 在 事件 日 志 中 同样 
“站 谨 。 | 也 会 包含 相关 内 容 。 
通过 WebUI 对 收集 的 日 志 进 行 加 工 处 理 ， 从 而 向 管理 员 提供 显而易见 的 图 表 等 信息 。 有 的 ] 
报告 品 还 能 够 将 报告 结果 以 PDF 的 格式 导出 。 有 些 防 火 墙 设备 不 是 提供 报告 导出 功能 ， 而 是 采 
(reporting) ”| 预先 配备 的 管理 服务 器 接收 防火 墙 传输 过 来 的 Syslog 形 式 日 志 (包含 通信 流 志 ) 或 
格式 日 志 ， 在 管理 服务 器 上 展示 报告 


同 报告 功能 相关 的 另 一 部 分 便 是 将 防火 墙 设备 生成 的 告警 及 日 志 等 传输 至 管理 服务 器 。 管 理 
厂商 提供 的 专用 硬件 产品 ， 也 可 以 是 有 第 三 方 提 供 的 通用 产品 
( 表 5-40) 。 


表 5-40 主要 设备 厂商 提供 的 专用 管理 产品 


Cisco ASDM (Adaptive Security Device Manager) ASA 系列 使 
Juniper NSM (Network and Security Manager) SSG/SRX 系列 使 
Palo Alto Panorama PA 系列 使 
Check Point Horizon Manager/Network Voyager IP 系列 使 
Fortinet FortiAnalyzer/FortiManager Fortigate 系列 使 


05.07.11 “分 组 捕获 
有 些 安全 设备 产品 提供 了 分 组 捕获 的 功能 


捕获 的 分 组 可 以 放 在 设备 上 浏览 ， 也 可 以 导出 为 WinPcap 格式 的 pcap 文件 在 Wireshark 这 
类 应 用 程序 中 进行 浏览 (图 5-32) 。 


当 发 生 通信 故障 时 ， 可 以 根据 所 捕获 的 分 组 信息 进行 进一步 的 分 析 。 


rs a "EE ep 
(7 ee 2 


ie fee Yew fo Cecture snatrae fabebes Teleonony Toon ttep 
可 寺 负 站 加 其 多 和 1 人 时 人 | 国 国 /QQQDI 区 罗 苏 | 侣 


Per = Bpresion Oe Acphy | 
Time Source Doseton Me i Protocet 3pert oport “| 

7 3551436 05.35.223.19 192.168, 59.5 60 40006 > 3067 [PSH, ACK] Seu} Ackm} Winml26 Lonm3Tcp 40006 30631 

9 2.962154 65.55,223.19 192.168.5.5 54 40006 > 30631 {PSH, XK) Seqmt Ackwl Nine125 LennlTCP 40006 306 江 

11 3,142995 65.55.223.19 192.168.5.5 60 40006 > 30631 [ACK)] Seqs14 ACkm5 Winwl26 LefwO TCP 40006 30631 

14 5.486811 10.0.0.190 192.168. 5.5 66 pas > 30935 (ACK] SaQwl ACkw2 Winn64424 LerivD SLEwTCP 9595 30935 

16 10. 551012 192.168.5,254 192.168;5.5 60 https > 30953 [ACK] Seq=l ACk=9} Wirm66 LO TCP 443 30953 

17 30,725094 192,168.5.254 192.168,5.5 107 Application Oata TLSVI 443 30953 


Version: 4 
weder 1e Vength: 20 bte 
Offferens ared Services Fie1d: Ox00 (oscp Ox00: Default; Ecu: ox00) 


Toral bangth 40 
Identtfication: Ox S390 《25502) 
Flags: (Don’t Fragnen 


fv 
ol: Tes 地 


Source: 192 .168,5,5 (192,16 
Destination: 59.106.160,10 人 106 160.10) 


RS (31085) 
:herp (80) 


@ Fema [tmme) 54 bytes Pockoets: 17 Owpinyed: 17 Mareed- 0 Dropped: 0 Profie: Defacit 


图 5-32 Wireshark 


05.07.12 ”虚拟 路 由 器 
几乎 所 有 的 防火 墙 均 实现 了 静态 路 由 和 动态 路 由 的 功能 。 在 防火 墙 中 实施 路 由 选择 的 功能 特 


性 称 为 虚拟 路 由 器 ， 表 示 位 于 防火 墙 中 存在 虚拟 的 路 由 器 。 


当 使 用 多 个 虚拟 路 器 时 ， 即使 遭 到 某 个 攻击 导致 数据 被 自 改 或 穷 听 ， 也 不 会 对 
由 器 造成 影响 ， 能 够 进一步 提高 网 络 的 安全 性 。 男 外 ， 通 过 每 生成 一 个 虚拟 防火 墙 ， 


复 用 同一 子 网 地 址 的 物理 网 络 端 口 。 


05.07.13 ”虚拟 防火 墙 


高 端的 防火 墙 产品 还 能 够 提供 虚拟 防火 墙 的 功能 。 虚 拟 防火 墙 也 成 为 虚拟 系统 (VSYS， 
Virtual System) ， 能 够 在 1 台 物 理 设备 上 虚拟 出 多 个 逻辑 防火 墙 在 网 络 中 使 用 。 


中 每 


| 


得 防火 墙 


虚拟 放火 墙 主要 用 于 


区 


4 络 服务 供应 商 同 时 为 多 个 企业 提供 企业 防火 墙 服务 的 业务 


05.08 ”决定 防火 墙 性 能 的 要 素 


{他 虚拟 路 


都 能 够 


个 逻辑 防火 墙 均 使 用 附带 IEEE 802.1q 标签 的 VLAN 子 接口 进行 分 割 。 分 割 后 的 逻 
可 以 同时 使 用 相同 的 私有 地 址 ， 也 能 对 同一 触发 对 象 预定 义 不 同 的 执行 行为 。 


0 


05.08.01 ”同时 在 线 会 话 数 

防火 墙 通 过 管理 会 话 表 ， 以 会 话 为 单位 来 控制 通信 流量 。 会 话 表 能 够 记录 的 表 项 数目 表明 了 
该 防火 墙 能 够 处 理 的 同时 在 线 会 话 (也 称 为 同时 连接 会 话 ) 数量 。 

桌面 型 小 型 防火 墙 设备 一 般 能 够 管理 几 万 个 会 话 ， 而 通信 服务 供应 商 使 用 的 防火 墙 设备 一 般 


能 够 同时 管理 数 百 万 个 会 话 。 


05.08.02 NAT 表 数 目 
的 不 同 ， 某 些 广 商 的 路 由 器 或 防火 墙 产 品 会 分 别 携带 维护 会 话 表 和 NAT 表 。 


根据 设备 


NAT 表 的 3 


» 


会 话 数目 


来 表示 “同时 在 线 NAT 的 会 话 数 ”"， 该 数值 也 意 味 着 设备 所 能 支持 建立 NAT 
的 最 大 值 


没有 给 出 NAT 寻 
的 上 


NAT 会 话 数 


数 
民 4 


上 限 的 防火 墙 ， 


情况 。 


除 
络 革 


Wh 


址 组 合 


对 于 NAT 处 理 ， 


芷 为 条 件 ， 


NAT 表 数 目 以 外 还 有 “NAT 规则 数 


小 型 路 


器 只 通 


器 则 是 使 


3 


为 高 端的 路 


05.08.03 ”每 秒 新 建 的 会 


一 般 使 用 每 秒 能 


还 。 


长、 不 


话 数目 


可 北 


` 需 增加 


火 
大 


状态 检测 型 


型 | 


建立 过 


程 。 


了 
j 
吉 


会 话 信 息 ， 


条 每 秒 外 


防火 墙 4 


FE 意 动 态 NAT 中 IP 地 


过 CPU 来 完成 ， 
件 进行 NAT 处 理 ， 


E 够 建立 的 会 
stateful inspection) 中 ， 
中 ，1 个 完整 的 会 话 


一 指标 。 


上 池 的 数量 


NAT 规则 ， 


同样 有 限 。 


大 


叶 


此 会 对 设备 的 


以 发 送 源 与 发 送 E 目 
能 够 指定 静态 NAT、 es NAT 、1 对 1 的 NAT 或 者 NAPT 等 
让 中 用 来 说 明 这 条 NAT 规则 的 表 项 数 就 是 NAT 规则 数目 。 


另外 ， 在 设置 计算 时 还 要 六 


一 般 就 是 使 用 会 话 数 的 上 限 以 及 内 存 的 上 限 来 表示 


的 地 网 


率 有 


因 


够 传输 的 bit 数 bis 和 每 秒 能 


话 数 人 


将 信息 记录 至 会 话 表 等 


FE 成 会 i 


话 值 一 般 仅仅 旬 


秒 新 建 会 j 
全 


对 


防火 墙 


性 外 


多 相关 的 指标 


EB 够 完成 会 话 从 建立 到 结束 的 次 数 ， 


TCP 会 话 为 统计 对 象 ， 
该 指标 名 为 每 秒 连接 数 ( 


此 不 会 


(new session per second) 这 
该 指标 表示 在 1 秒 内 能 够 完成 多 少 次 完 
6 建立 过 程 包括 : 监控 TCP 连接 的 3 次 握手 


一 系列 操作 。 


出 现 春 叶 3 


够 转发 的 分 组 


大 


可 以 参考 本 


第 7 章 趾 


05.09” 同 信息 安全 范畴 相关 的 标准 


05.09.01 I 
企业 或 政府 引 


Association ， 


ICSA 认证 是 


SCA 


入 安全 产品 时 ， 


玉 


际 计 算 机 


和 ICSA Labs 对 


P 的 每 秒 完成 


作为 前 提 条 件 。 


的 统一 标准 的 认定 。 


数 pps 这 


文 一 参数 


有 务 (transaction) 


低下 的 情况 。 


旨 标 。 


定 影 响 ， 但 更 


等 操作 。 


”将 


和 


此 也 可 


connection per second) 。 


数量 


有 时 会 以 产品 需 通 过 ISCA (International Computer Security 
安全 协会 ) 的 相关 认证 


安全 类 产品 或 服务 进行 


安全 设备 厂商 往往 会 委托 ICSA Labs 进行 相关 测试 ， 如 果 产 品 合格 即 通过 ISCA 认证 。 
测试 内 容 按照 每 项 安全 技术 内 容 依次 进行 ， 通 过 认证 的 产品 均 能 够 在 ISCA Labs 官方 网 站 上 
记录 。 表 5-41 列 出 了 ISCA 认证 的 主要 技术 分 类 。 
表 5-41 ISCA 认证 的 主要 技术 分 类 
反 恶 意 软 件 IPS 
反 间 谍 软 件 SSL-TLS 
反 病 毒 Web 应 用 程序 防火 墙 
IPsec 防火 墙 
以 认证 IPsec 网 络 硬 件 为 例 ， 由 于 经 由 ISCA 认证 的 网 络 硬件 之 间 可 以 不 分 具体 的 生 
成 厂商 ， 做 到 无 颖 互联 。 因 此 是 否 通过 ISCA 认证 往往 在 很 多 场合 成 为 应 急 按钮 采购 方 对 候 
选 硬 作 行 甄选 而 关注 的 参考 材料 之 一 。 
ISCA Labs 前 身 为 1989 年 成 立 于 美国 的 NCSA (National Computer Security Association， 国 
家 计算 机 安全 鞋 花 ) 组 织 ，1998 年 正式 更 名 为 ISCA?”3 ，2004 年 成 为 美国 Cybertrust 公司 的 


一 个 部 门 ， 而 2007 年 随 着 Cybertrust 公司 的 被 收购 又 成 为 Verizon Business 公司 的 一 个 子 部 


2 区 别 本 儿童 网 络 色情 防范 管理 组 织 ICSA (Internet Content Safety Association) 。 


05.09.02 FIPS 


FIPS (Federal Information Processing Standard， 联 邦 信息 处 理 标准 ) 是 由 美国 联邦 政府 开发 
的 信息 通信 硬件 相关 标准 。 对 于 网 络 硬件 的 认证 内 容 如 表 5-42 所 示 。 “。 该 标准 NIST 

(National Institute of Standards and Technology， 美 国 国家 标准 技术 研究 所 ) 负责 起 草 ， 其 中 
有 多 项 条 款 同 信息 安全 标准 有 关 。 除 军事 机 关 以 外 的 美国 政府 以 及 关联 组 织 必 须 采 用 符合 
FIPS 标准 认证 的 产品 。 以 防火 墙 为 代表 ， 各 类 设备 厂商 提供 的 安全 设备 都 需 完 成 FIPS 认 


证 。 日 本 政府 以 及 相关 组 织 没有 特别 规定 必须 选择 FIPS 相关 产品 。 
表 5-42 FIPS 的 认证 内 容 
FIPS 标准 说 明 

FIPS 46-3 DES 加 密 

FIPS 140-2 加 密 模 块 产品 的 认证 标准 与 通过 认证 的 产品 清单 

FIPS 171 ANSI X.9.17 密 钥 交 换 

FIPS 180-2 散 列 函数 (SHA-1、SHA-256、SHA-386、SHA-512) 

FIPS 197 AES 加 密 


05.09.03 ”ISO/IEC 15408 (公共 标准 ) 


1983 年 美国 NSA (National Security Agency， 美 国 国家 安全 局 ) 下 属 的 NCSC (National 
Computer Security Center， 国 家 计算 机 安全 中 心 ) 制定 了 军用 计算 机 产品 采购 的 评估 标准 
TCSEC (Trusted Computer System Evaluation Criteria) ， 该 标准 说 明 书 的 封面 为 村 红色 因此 
也 被 称 为 桂皮 书 。 


上 世纪 90 年 代 ， 欧 洲 各 个 国家 均 制定 了 信息 安全 评估 标准 或 相关 认证 制度 ， 唯 有 通过 认证 
的 产品 方 能 进入 军 方 以 及 政府 机 关 的 信息 安全 产品 采购 范围 。1991 年 ， 英 国 、 德 国 、 法 医 
与 答 兰 4 国 开始 实施 全 欧洲 统一 的 ITSEC (Information Technology Security Evaluation 
Criteria， 信 息 技术 安全 评估 准则 ) 标准 。 


基于 这 些 安全 认证 J 加 拿 大 、 法 国 、 德 国 、 和 荷兰 、 英 国 和 美国 6 国 又 开始 启动 制定 适用 
范围 更 广 的 公共 标准 (Common Criteria) 工程 ， 并 于 1996 年 发 布 了 公共 标准 版 本 1。 到 了 
1998 年 ， 公 开标 准 版 本 2.1 发 布 ， 并 在 1999 年 被 认定 为 际 标准 ISO/IEC 1540830 。 


加 


‖ ?9 该 标准 对 应 日 本 于 2000 年 发 布 的 JIS X 5070 标准 ， 目 前 已 废止 。 


虽然 公共 标准 是 通用 的 评价 标准 体系 ， 但 必须 使 用 CEM (Common Evaluation 
Methodology， 公 共 评 价 方法 ) 作为 其 评价 方法 。 目 前 (2011 年 ) ， 该 标准 为 CC/CEM 版 本 
3.1 release 3。 


通过 ISO/AIEC 15408 认证 的 产品 会 在 公开 标准 的 门户 站 点 公布 ， 日 本 还 可 以 参考 IPA 
(Information-tech Promotion Agency) 的 官方 站 点 。 考 虑 到 IT 投资 减 税 的 政策 (中 小 企业 基 


础 设施 强化 税收 制度 ) 3 企业 或 公共 团体 等 特别 是 在 采购 安全 类 设备 时 ， 需 要 将 该 设备 是 
否 通过 认证 作为 甄选 采 备 的 参考 标准 之 一 。 
31 该 制度 仅 在 日 本 实行 。 一 一 译 者 注 
EAL 
EAL (Evaluation Assurance Level， 评 估 保 证 级 别 定 义 了 公共 标准 (Common Criteria) 中 
的 7 级 安全 保障 评估 级 别 。 评 估 保障 级 别 来 表示 3 实现 装 置 的 安全 性 能 和 可 信 程 度 的 高 低 
( 表 5-43) 。 数字 越 大 表示 级 别 越 高 ， F 位 级 别 包含 了 下 位 级 别 的 所 有 要 求 。EAL1 至 
EAL3 用 于 民用 ，EAL4 用 于 政府 机 关 ，EAL5 以 上 用 于 军队 以 及 政府 的 高 度 机 密 机 构 。 
在 日 本 ， 防火 墙 这 类 安全 产品 一 般 由 美国 、 欧 洲 、 以 色 列 厂商 提供 的 产品 为 主 ， 占 据 市 场 份 
额 高 的 产品 往往 都 通过 了 公共 标准 的 认证 ， 基 本 都 符合 EAL 标准 中 EAL? 或 EAL4 的 程 
度 。EAL2 需要 花费 5-10 个 月 时 间 获 得 ， 而 EAL4 则 需 花 费 10-25 个 月 才 行 。 
需要 对 某 个 EAL 评估 标准 条 件 诡 加 内 容 进 行 扩展 时 ， 可 以 在 EAL 级 别 中 添加 标识 符 。 如 防 
火 墙 产 品 通 过 EAL4 认证 后 ， 又 通过 了 EAL4 扩展 标准 EAL4+ 的 认证 ， 这 些 信 息 一 般 都 会 
记录 在 产品 目录 说 明 书 中 。 
表 5-43 EAL 的 安全 评估 级 别 
设想 的 安全 保障 级 别 评估 概要 |ITSEC | TCSEC 
EAL1 | 以 封闭 环境 应 用 为 前 提 ， 能 够 保障 安全 使 用 、 利 用 时 使 用 产品 的 | 功能 测试 E0~ | vi 
保障 级 别 El 
发 人 员 限 定 ， 不 存在 威胁 安全 使 用 的 重大 隐患 时 使 用 产 | en na 
EAL2 人 结构 测试 El | 
EAL3 | 不 特定 用 户 可 利用 ， 需 要 防范 非法 使 用 时 产品 的 保障 级 别 | 
为 保障 商用 产品 以 及 系统 的 高 安全 性 ， 在 考虑 了 安全 性 的 开发 与 | 功能 设计 、 测 斌 
FAI4 | 生产 环境 中 生产 产品 的 保障 级 别 以 及 评审 le 
为 在 特定 领域 的 商用 产品 以 及 系统 中 能 够 最 大 限度 保护 安全 性 ， | 准 形式 设计 以 及 
PATS | 在 安全 专家 的 支持 下 完成 开发 与 生产 的 产品 的 保障 级 别 测试 i 
EA16 | 为 了 对 抗 重大 风险 环境 、 保 护 高 价值 的 资产 ， 适 应 安全 工程 技术 | 完成 准 形式 验证 |。 |p3 
示 准 的 开发 环境 中 生产 的 特殊 产品 的 保障 级 别 的 设计 以 及 测试 
EAI7 | 为 保护 风险 极 大 和 开发 费用 极 高 环境 中 的 高 品 资产 而 开发 的 安全 | 完成 形式 验证 的 | | 
了 级 别 最高 的 疡 避 的 保 限 级 别 设计 以 及 测试 


ne LAN 及 其 基础 知识 


点 (Access Point) 


BE 的 考量 方法 。 


安全 性 以 及 无 线 LAN 性 


的 功能 等 内 容 


oO 


最 后 ， 还 会 对 IEEE 802.11 标准 中 的 内 容 尤 其 是 传输 标准 进行 详细 地 说 明 。 


06.01 无 线 LAN 是 如 何 诞生 的 ? 


世界 上 最 早 的 计算 机 无 线 通 信 是 1968 年 开始 研究 的 ALOHA 网 。 该 实验 网 络 将 夏威夷 诸 岛 
以 无 线 通 信 的 方式 进行 连接 ， 后 来 在 该 实验 网 的 基础 上 开发 了 以 太 网 。 


1985 年 ， 经 美国 FCC 批准 ， 原 来 仅 用 于 军 方 的 扩 频 通信 向 民间 开放 ， 900MHz 频带 (902~ 
928MHz) 、2.4GHz 频带 〈2.4~…2.5GHz) 、5.7GHz 频带 (5.725~-5.875GHz) 这 三 个 被 称 为 
ISM 频带 的 无 线 频带 开始 可 供 商 业 使 用 。 


991 年 ，IEEE 召开 了 首 个 无 线 LAN 相关 的 会 议 ， 同 时 成 立 了 IEEE 802.11 委员 会 。1992 
FE，NCR 公司 的 WaveLAN、Proxim 公司 的 RangeLAN 以 及 Telesytems 公司 的 ArLAN 等 无 
线 产品 在 美国 市 场 上 发 布 ， 这 些 产品 使 用 900MHz 频带 ， 最 大 速率 为 2Mbits。 随后， 市场 
上 又 出 现 了 使 用 2.4GHz 带宽 宽 的 2MPbit/s 无 线 LAN 产品 。 当 时 Proxim 公司 的 RangeLAN2 接 
占 


i 


入 点 0 1985 美元 ， 男 一 方面 ， 需 要 在 每 台 作 为 客户 端的 计算 机 上 安装 无 线 LAN 适 
配器 ， 该 适配器 为 PCMICA TYPE II 类 型 PC 扩展 卡 ， 售 价 为 695 美元 (当时 价值 7 万 5 千 
元 ) 。 


本 于 1992 年 根据 无 线 电 相关 法 律 ， 规 定 只 有 在 省 电 数 据 通信 系统 管理 局 登记 、 符 合法 定 
技术 标准 的 无 线 LAN 硬件 产品 才能 在 市 场 上 销售 ， 而 符合 技术 标准 的 认证 也 


FE 必须 由 TELEC 
(财团 法 人 telecom engineering center) 机 构 进行 。 由 于 在 当时 ， 认 证 无 线 通 信 设 备 需 要 将 不 
同 的 天 线 和 计算 机 组 合 后 逐一 认证 ， 因 此 最 终 只 有 少 部 分 能 够 使 用 无 线 LAN 的 计算 机 种 类 

获得 了 该 认证 ， 这 在 一 定 程度 上 妨碍 了 无 线 LAN 的 普及 程度 。 


1997 年 IEEE 完成 了 首 个 无 线 LAN 标准 802.11 的 标准 化 工作 ， 该 标准 让 使 用 2.4GHz 频 

、 通信 速率 为 2Mbits 的 无 线 LAN 得 到 普及 。 而 之 前 在 市 场 上 销售 的 无 线 LAN 产品 属于 
非 标 准 化 范畴 ， 多 数 产 品 同 标准 化 后 的 10Mbit/s 以 太 网 技术 相 比 ， 只 能 提供 速率 很 低 
ot 的 网 络 吞 吐 率 价格 不 菲 ， 不 同 三 商 的 产品 之 间 兼 容 性 差 ， 难 以 在 市 场 上 得 以 普 


1999 年 11Mbits 的 无 线 LAN 通过 802.11b 标准 完成 标准 化 工作 。 就 在 该 标准 颁布 前 ， 苹 
果 公 司 发 布 了 一 款 名 为 AirPort (日 本 该 产品 名 为 AirMact{[ 该 产品 没有 进入 中 国 市 场 。 
译 者 注 ]}) 的 无 线 接 入 点 产品 。 当 时 AirMac 售 价 299 美元 ， 无 线 LAN 网 卡 价格 为 99 美 
元 ， 相 对 于 之 前 的 无 线 LAN 产品 ， 价 格 可 谓 非 常 低廉 。 日 本 Melco 公司 (现在 的 Buffalo 
公司 ) 在 国内 也 发 布 了 支持 IEEE 802.11b 的 产品 ， 其 中 包括 价格 为 59800 日 元 的 无 线 接 入 点 
和 29800 日 元 的 无 线 LAN 了 网卡。 


1999 年 日 本 修改 ] 无 线 电 管理 法 律 ， 首 次 将 原本 只 认定 单个 信道 的 无 线 LAN 专用 频段 扩大 
到 了 14 个 信道 ， 使 得 无 线 LAN 在 日 本 迅速 普及 。 


| 
| 
> 


随后 ，IEEE 制定 了 提高 通信 速度 的 802.11g 以 及 802.11n 等 标准 ， 这 些 标准 ; 


2002 年 日 本 再 度 修 正 无 线 电 管理 法 律 ， 人 允许 总 务 省 认可 的 民间 TELEC 认证 机 构 进 行 相 关 认 
证 工作 。 


图 6-1 Mac AirPort 基站 (base station) 


图 6-2 Melco 公司 ( 现 为 Buffalo 公司 ) 的 AIRCONNECT ( 接 入 点 ) 产品 
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图 6-3 Melco 公司 ( 为 | Buffalo 公司 ) 的 AIRECONNECT Ce 网 卡 ) 产品 


06.02 ”理解 无 线 LAN 所 需 的 基础 知识 


06.02.01 CSMA/CA 


以 太 网 传输 媒介 访问 控制 方式 为 CSMA/CD， 而 IEEE 802.11 无 线 LAN 所 采用 的 是 
CSMA/CA 方式 。 通 过 使 用 CSMA 技术 ， J 1 享 传输 媒介 (无 线 LAN 中 
则 是 指 无 线 带宽 频带 ) 时 能 够 实时 检测 出 那些 未 被 占用 频 


以 太 网 的 冲突 域 (CD ，collision domain) 是 指 在 数据 发 送 时 检测 出 冲突 ， 当 发 生 冲 突 时 等 候 
某 随 机 时 间 再 次 发 送 。 而 在 无 线 LAN 中 ， 如 果 在 进行 载波 侦 听 时 (carrier sense) 过 到 其 他 
终端 正在 发 送 数据 ， 那 么 就 在 对 方 终端 发 送 完 成 后 ， 再 次 等 待 某 个 随机 时 间 继 续 发 送 数据 。 
该 过 程 称 为 冲突 避免 (CA，collision avoidance) 妹 为 如 果 在 对 方 发 送 完 毕 后 直接 发 送 数 

也 有 可 能 会 造成 无 线 传输 的 冲突 。 
在 以 太 网 中 ， 传 输 媒 介 能 够 通过 异常 电气 信号 检测 到 冲突 的 发 生 。 但 由 于 无 线 通 信 不 会 产生 
电气 信号 ， 因 此 需要 使 用 CSMAJCA 人 CSMACD ( 表 6-1) 。 
表 6-1 以 太 网 与 无 线 LAN 的 比较 

以 太 网 无 线 LAN 

标准 IEEE 802.3 IEEE 802.11 

地 址 MAC 地 址 MAC 地 址 

传输 媒介 线 缆 无 线 电 波 

接 入 控制 CSMA/CD CSMA/CA 

传输 方式 半 双 工 或 全 双 工 半 双 工 
06.02.02 无线 LAN 的 架构 
IEEE 802.11 无 线 网 络 由 表 6-2 列 出 的 要 素 组 成 。 图 6-4 则 展示 了 这 些 组 成 要 素 的 图 例 。 
表 6-2 IEEE 802.11 无 线 网 络 的 组 成 要 素 

组 成 要 素 说 明 


STA (Station, 
工作 站 ) 


无 线 连接 需 


使 用 的 配 有 适 配 卡 


、` PC 卡 、 内 置 模块 的 物理 无 线 终端 


AP (wireless 


access point， 无 | 在 STA 与 有 限 网 络 之 间 承 担 桥梁 角色 的 物理 硬件 

线 LAN 接 入 点 ) 

IBSS 

a 多 ns 的 无 线 网 络 ， 无 法 访问 DS 时 使 用 该 模式 。 也 称 为 ad-hoc 无 线 网 络 
种 立 基 本 服务 

集 ) 

BSS (basic 1 个 无 线 LAN 访问 点 和 1 个 以 上 无 线 客 户 端 组 成 的 无 线 网 络 ， 也 称 为 基础 设施 无 线 网 络 
service set， 基 (基础 设施 模式 ) 。BSS 内 所 有 的 STA 通信 均 通 过 AP 完成 ，AP 不 仅 提供 5 有 线 LAN 的 
服务 集 ) 连接 ， 而 且 还 提供 STA 与 其 他 STA 或 DS 节点 之 间 通 信 的 桥接 功能 


ESS (extended 


service set， 扩 
集 ) 


耻 


与 同一 有 线 网 络 连 接 的 、2 个 以 上 的 AP 群 ， 与 1 个 子 网 概念 相当 


组 成 要 素 说 明 


De A 
system， 分 发 系 移动 (mobility) 。 各 个 AP 之 间 可 以 是 无 线 互 联 也 可 以 是 有 线 互联 ， 不 过 多 数 场合 用 有 
统 ) “ 滞 a 

roaming 


ESS IBSS 


STA 


STA 


图 6-4 IEEE 802.11 无 线 网 络 要 素 


06.02.03 无线 LAN 的 拓扑 结构 


无 线 LAN 的 拓扑 结构 分 为 用 于 通信 终端 之 间 直 接 互 联 的 “ad-hoc 模式 ”以 及 通过 AP 连接 有 
线 网 络 的 “基础 设施 模式 ”两 种 ( 表 6- 3) 。 这 里 提 到 的 终端 是 指 搭载 了 无 线 LAN 模块 的 个 人 


计算 机 、 便携 终 端 、 游 戏 设备 等 。 
表 6-3 无线 LAN 拓扑 结构 的 种 类 


模式 说 明 


模式 说 明 
即 IEEE 802.11 无 线 网 络 的 BSS， 在 两 台 终 端 (STA) 之 间 直 局 通过 无 线 信 池 志 联 ， 从 而 组 成 的 
网 络 ， 也 称 为 点 到 点 (peer to peer) 或 孤立 (independent) 的 网 络 模式 。 | 在 个 人 计 
算 机 与 打印 机 之 间 进 行 无 线 连接 或 者 多 台 便 携 式 游戏 机 进行 无 线 联 机 对 战 时 经 常 使 用 。 入 网 终 
端 一 般 直 接 搭 载 无 线 LAN 模 块 或 配备 PC 扩展 卡 、USB 接 二 和 如 TAN 四 机 从 在 该 模式 下 
入 网 设备 往往 不 能 连接 到 互联 网 上 
ad-hoc 模 式 pA 
(ad-hoc 
mode) | | 
指 802.11 无 线 网 络 的 BSS 形 式 组 网 ， 在 需要 经 由 无 线 LAN 连 接 至 互联 网 时 使 用 。 在 该 模式 下 ， 除 
了 载 有 无 线 LAN 模 块 的 终端 (STA) 以 外 ， 还 需要 有 有 天线 LAN 的 AP 方 能 连接 至 互联 网 
基础 设施 模式 \ ~” 
(infrastructure 
mode) 
有 线 LAN 
无 线 LAN 的 接 入 点 
有 线 LAN 通过 使 用 有 线 电缆 将 个 人 计算 机 同 交 换 机 (交换 性 集线器 ) 连接 ， 从 而 完成 组 
网 。 而 在 无 线 LAN 的 基础 设施 模式 中 ， 则 是 通过 一 种 称 为 无 线 LAN 接 入 点 (Access 
Point) 的 装置 ， 将 多 台 个 人 计算 机 连接 到 LAN 网 段 中 。IEEE 802.11 无 线 网 络 的 AP 可 以 
接 称 为 接 入 点 。 接 入 点 装置 一 般 会 配备 RJ-45 网 络 接口 同 交换 机 或 路 由 器 进行 连接 ， 从 而 
得 无 线 LAN 的 终端 能 够 访问 有 线 LAN 或 互联 网 。 


06.03 ”各 种 各 样 的 无 线 LAN 标准 


TH 


WT 


和 以 太 网 一 样 ， 无 线 LAN 的 标准 也 是 由 IEEE 组 织 制定 的 。 


以 太 网 标准 统称 为 IEEE 802.3， 而 无 线 LAN 标准 则 统称 为 IEEE 802.11 。 


同 IEEE 802.3 一 样 ，IEEE 802.11 全 物理 屋 和 数据 链 路 层 之 间 也 定义 了 MAC 子 层 。 整 个 
IEEE 802.11 标准 定义 了 无 线 LAN 采用 何 种 频带 和 调制 方式 ， 传 输 速率 能 够 达到 何 种 程度 等 
传输 标准 ， 还 定义 了 安全 性 、QoS、 管 理 、 调 试 方法 等 各 种 涉及 无 线 LAN 的 相关 内 容 。 


志 


表 6-4 汇 总 了 主要 的 无 线 LAN 传输 标准 。 
表 6-4 主要 的 无 线 LAN 传输 标准 
三 弓 标 制 害 | 。 使 用 频带 。 | 县 过 焦 输 | 调制 方式 无 线 许可 
1997 1 注 1 人 
802.11 | 侍 “|2.4GHz 2Mbits “|DSSS; 无 需 许可 
和 DSSS 
802,11b | 全 ~ |2.4GHz 11Mbit/s | (CCK 注 2 | 无 需 许 可 
) 
802 11a |1999 [oCpz 54Mbits | OEDM 注 3 |5.15~5.35GHz， 室 内 使 用 无 需 许可 。 
- 年 5.47~5.725GHz: 室内 室外 均 无 需 许 可 
2003 
802.11g | 年 “| 2.4GHz 54Mbit/s |OFDM 无 需 许可 
，| 2004 | 4.9~5.0GHz 和 二 杰出 目光 
802.11j | 年 “|j50325 09]GHy |54Mbits |OFDM 需要 出 具 许可 
2.4GHz 频 带 : 人 匀 无 需 许 可 {[ 为 1 ne 
2009 | 2.4GHz 注 | 频段 的 管理 办 法 ， 定投 通信 入 得 型 
po | a ei US| MD 主考 注 ]) 
) 5.15~5.35GHz: 室内 使 无 需 许 可 
5.47~5.725GHz: 室内 外 均 无 需 许 可 
预定 OFDM ; 人 
注 | 5.15~5.35GHz: 室内 使 用 无 需 许可 
802.11ac 2013 5GHz 6.93Gbit/s 人 5.47~5.725GHz， 室 内 外 均 无 需 许 可 
SC (Single 
预定 Carrier) 、 
802.11ad | 2013 | 60GHz 6.8Gbits |OFDM | 元 需 许 可 
年 (MIMO 广 
be) 
注 1: DSSS (Direct Sequence Spread Spectrum) ， 直 接 序 列 扩 频 。 扩 频 通 信 技 术 的 一 种 ， 在 发 送 一 侧 将 调制 信号 经 过 高 频 
巴克 人 码 (barker code，11bit 脉冲 码 ) 的 XOR 运算 后 进行 发 送 。 


注 2: CCK (Complementary Code Keying) ， 补 充 编码 键 控 。 不 使 用 巴克 码 ， 而 是 使 用 被 称 为 补充 序列 (complementary 
equence) 的 代码 对 信号 进行 编码 。{[ 为 了 防止 同 频段 无 线 通 信 的 相互 干扰 ， 每 个 国家 均 会 指定 无 线 电 频 段 的 管理 办 法 ， 指 
定 频段 内 的 通信 需要 得 到 相关 部 门 的 许可 方 可 使 用 。 译 者 注 ]} 


on 


注 3: OFDM (Orthogonal Frequency Division Multiplexing) ， 正 交 频 分 复 


注 4: MIMO (Maultiple Input Multiple Output) {[9 


P 文 译 为 多 输入 多 输出 。 一 一 译 者 注 ]}。 


在 完成 LAN 以 及 WAN 等 网 络 标准 规范 化 工作 的 IEEE 802 中 ， 制 定 无 线 LAN 相关 标准 的 
， 工 作 组 下 还 分 为 很 多 任务 组 (task 


group) 。 这 


团体 称 为 IEEE 802.11 


些 任务 组 从 罗马 字 二 


b) 。 


作 组 (working group) 


上 a 天 


F 始 编号 ， 如 IEEE 802.11b 就 表示 为 TGb (Task Group 


表 6-5 中 列 出 了 IEEE 802.11 标准 的 清单 。 
表 6-5 IEEE 802.11 标准 一 览 
标准 种 关 | 标准 种 类 | 制 尖 时 说 明 

802.11 传输 标准 |1997 年 “| 使 用 2.4GHz 以 及 红外 线 频带 、 速 率 为 IMbits 和 2Mbit/s 的 无 线 LAN 标 准 
802.11a 传输 标准 |1999 年 ”| 使 用 5GHz 频 带 、 最 大 速率 在 54Mbit/s 的 无 线 LAN 标 准 
802.11b 传输 标准 | 1999 年 Ee 妇 。 使 用 2.4GHz 频 带 、 最 大 速率 为 11Mbits 的 无 线 LAN 
802.11c 2001 年 “| 有线 LAN 与 无 线 LAN 之 间 的 桥接 标准 。 后 并 入 IEEE 802.1D 
802.11d 2001 年 于 国际 漫游 的 扩展 协议 
802.1le QoS 2005 年 “| 无 线 LAN 中 实施 QoS 控制 的 标准 
802.11F 2003 年 eh 厂商 的 AP 之 间 漫 游 的 协议 ， 即 IAPP (Inter-Access Point Protocol) 
802.118g 传输 标准 |2003 年 ed 带 、 最 大 传输 速率 为 54Mbit/s 的 无 线 LAN 标 准 ， 向 下 兼容 
802.11h on 2004 年 带 的 使 用 限制 、 作 为 IEEE 802.11a 的 扩展 而 制定 的 
802.11i 安全 2004 年 “| 为 消除 WEP 加 密 的 缺陷 而 对 无 线 LAN 安 全 机 制 进行 扩展 的 标准 
802.11j 2004 年 “| 作为 IEEE802.11a 的 补充 标准 来 应 对 日 本 对 于 5GHz 频 带 的 使 用 限制 
802.11k 管理 2008 年 “| 无 线 LAN 中 对 无 线 资源 进行 监控 的 标准 
802.11ma/mb IEEE 802.11 系 列 标准 文件 的 修订 与 管理 
802 11n 传输 标准 |2009 年 人 使 用 2.4GHz 以 及 5GHz 频 带 ， 最 大 
802.11p 应 2010 年 “| 车 载 (移动 装置 ) 可 用 的 无 线 LAN 应 用 标准 


标准 种 类 “| 标准 种 类 | 制 宕 时 说 明 
802.11r 应 2008 年 “| 实现 高 速 漫游 的 方法 
802.11s 应 2011 年 | 无 线 LAN 之 间 网 状 组 网 (mesh network ) 架构 的 标准 
802.11T 试验 IEEE802.11 测 试 方法 与 检测 相关 的 规格 与 设计 
802.11u 互联 互通 |2011 年 “| 同 IEEE 802.11 以 外 的 网 络 之 间 进 行 互联 互通 的 相关 标准 
802.11v 管理 2011 年 ”| 使 用 802.11k 测 定 的 信息 对 无 线 网 络 进行 管理 的 标准 
802.11w 管理 2009 年 、|IEEE 802.11 管 理 数据 帧 的 安全 相关 标准 
802.11y 1 2009 年 国 国 内 使 用 3.65~3.7GHz 频 带 的 无 线 LAN 标 准 
802.11ac 。 | 传输 标准 | 现年， 。 | 使 用 5GHz 频 带 、 传 输 速率 最 大 能 够 达到 6.83Gbivs 的 无 线 LAN 
802.11ad 。 | 传输 标准 | 现年， 。 | 使 用 60GHz 频 带 、 最 大 传输 速率 为 6.8Gbitjs 的 短 距 离 无 线 通信 LAN 标 准 


06.03.01 IEEE 802.11 


最 早 的 IEEE 802.11 标准 于 1997 年 制定 ， 采 用 的 是 工作 组 命名 〈 不 含有 罗马 字母 ) 。 该 标准 


规定 了 数据 链 路 层 中 MAC 子 层 的 媒介 传输 方式 为 CSMA/CA 。 


Ew 


物理 层 采 用 2.4GHz 频带 的 DSSS 方式 或 FHSS (Frequency Hopping Spread Spectrum， 跳 频 


扩 频 技术 ) 方式 以 及 红外 线 方式 3 种 标准 (图 6-5、 表 


2Mbit/s。 但 是 该 物理 层 标准 目前 


已 经 不 再 使 用 。 


6-6) ， 通 信和 速率 为 1Mbit/s 或 


C | 802.2 逻辑 链 路 控制 (LLC) 
Fn 


802.11 CSMA/CA 


802.11 PHY 


物理 | 物理 | [无线电 | 无 线 电 802.11b PHY 无 线 电 
的 


波 波 波 2.4GHz 频带 昌 波 2.4GHz 频 带 2.4GHz 频 带 OFDM 、PBCC 
外 | ?4cHz |2 4GHy | DSSS/CCK OFDM 


图 6-5 IEEE 802.11 在 网 络 分 层 模型 中 的 地 位 


表 6-6 IEEE 802.11 的 传输 方式 


802.11a PHY 无 线 |802.11g PHY 无 线 电 波 


DSS/CCK 


传输 方式 


说 明 


传输 方式 说 明 


DSSS (Direct ，。 | 扩 频 通信 技术 的 一 种 ， 在 必 尖 一 仙 宪 抽 信 经 过 高 顷 四 训 凤 parker code，11bi 及 
: d 随 接 序 码 ) 的 XOR 运算 后 进行 发 送 。 将 信号 分 散在 整个 宽带 域 的 同时 进行 发 送 。 同 FHSS 相 
| 人 


FHSS (Frequency | 扩 
Hopping Spread 音 
Spectrum， 跳 频 扩 |D 
频 技术 ) 够 


频 通信 技术 的 一 种 ， 在 短 时 间 内 变更 通信 方式 。 即 使 某 个 频率 发 生 
干扰 ， 也 能 够 通过 变更 为 其 他 频率 来 修正 数据 ， 择 干 拓 较 小 的 频率 进行 发 送 。 同 
相 比 ， 虽 然 传 输 速度 慢 ， 但 抗 干扰 性 二 人 另外 ， 该 方式 在 Bluetooth 中 也 


红外 线 (nrared) | 全 用 红外 线 ， 外 长 为 950~950nm) 进行 数据 的 无 线 传输 ”最 大 传 条 中 次 只 有 20m 丰 右 


06.03.02 IEEE 802.11a 


IEEE 802.11a 于 1999 年 10 月 制定 ， 最 大 传输 速率 为 54Mbit/s， 使 用 5GHz 频带 。 
数据 链 路 层 协议 以 及 数据 帧 格式 均 和 IEEE 802.11 相同 ， 物 理 层 调制 方式 变 为 OFDM 。 


通信 速率 能 够 根据 无 线 电波 的 信和 号 情况 能 够 做 到 54、48、36、24、12、6Mpbs 自 适 应 ， 这 
点 通过 无 线 LAN 客户 端的 fallback 功能 来 实现 。 


在 可 使 用 的 频带 范围 内 ，5.15~5.35GHz 的 频带 在 室内 使 用 无 需 许 可 ，5.47~5.725GHz 频带 在 
室内 外 使 用 均 无 需 许可 。 


IEEE 802.11a 与 I[EEE 802.11b 虽 都 于 1999 年 完成 标准 化 ， 但 由 于 5GHz 频带 在 日 本 和 欧洲 

等 地 用 于 气象 雷达 等 其 他 系统 {[IEEE 名 为 美国 电子 和 电气 工程 师 协 会 ， 属 于 美国 的 行业 协 

会 ， 因 此 所 制定 的 标准 往往 会 参考 美国 本 地 实际 情况 ， 而 美国 的 5GHz 频带 当时 并 没有 这 类 
3 途 。 译 者 注 ]}， 再 加 上 无 线 电 波 在 室外 传播 时 使 用 的 天 线 也 有 所 约束 ， 因 此 该 标准 的 
普及 花费 了 不 少时 间 。 后 来 由 于 日 本 无 线 电 管理 法 律 的 修正 以 及 IEEE 802.11j 这 种 应 对 法 律 
限制 的 新 标准 制定 ， 再 加 上 能 够 使 用 没有 干扰 的 8 个 频段 ， 因 此 最 近 IEEE 802.11a 才 逐 步 流 
行 开 来 。 


HS 


06.03.03 IEEE 802.11b 


IEEE 802.11b 于 1999 年 10 月 指定 ， 最 大 传输 速率 为 11Mbit/s， 使 用 2.4GHz 频带 且 无 需 许 
可 [Le] 


2 屋 协 议 与 数据 帧 格式 同 IEEE 802.11 相同 ， 物 理 层 使 用 基于 DSSS 的 CCK 调制 方 
式 。 


该 标准 开启 了 无 线 LAN 的 历史 篇 章 ， 在 该 标准 制定 完成 的 前 后 时 间 段 ， 对 应 IEEE 802.11b 
的 廉价 无 线 LAN 卡 开始 销售 ， 并 在 之 后 的 几 年 里 得 到 迅速 普及 。 


‘0 


[a 


06.03.04 IEEE 802.11g 


ir 


出 方 式 同 IEEE 


IEEE 802.11g 是 于 2003 年 6 月 制定 的 标准 ， 向 下 兼容 IEEE 802.11b。 调 
802.11a 相同 ， 采 用 OFDM 方式 ， 最 大 传输 速率 为 54Mbit/s 。 


由 于 使 用 了 ISM 频带 的 2.4GHz 频带 ， 因 此 能 够 无 需 许 可 使 用 。 可 是 同 IEEE 802.11a 相 
比 ， 更 容易 受到 其 他 无 线 硬件 设备 的 干扰 ， 很 可 能 造成 实际 速率 下 降 。 


06.03.05 IEEE 802.11n 


IEEE 802.1ln 标准 于 2009 年 制定 完成 ， 最 大 传输 速率 为 6000Mbit/s， 该 标准 通过 使 用 MIMO 


多 通道 技术 使 传输 速率 大 幅 上 


IEEE 委员 会 


案 ， 之 后 还 有 可 能 进行 修改 。 译 者 ; 


会 于 2006 年 推出 了 Draft 1.0 版 本 {[Draft 这 


IEEE 802.11a、IEEE 802.11b、IEEE 802.11g 能 够 做 到 互联 互通 。 


06.03.06 I 


IEEE 802.11ac 使 用 5GHz 频带 ， 是 计划 于 2013 年 完成 制定 工作 的 新 标准 {[ 该 规范 实际 于 


2011 年 起 草 ， 


在 IEEE 802. 


EEE 802.11ac 


证]} ，2007 年 发 布 了 Draft 2.0。 这 时 市 场 上 就 已 经 开 
始 销 售 仅 支 持 Draft 版 本 的 无 线 LAN 接 入 点 产品 。 因此 ， 包括 无 线 LAN 客户 端 内 ， 产 品 在 
互联 互通 时 需要 注意 支持 的 IEEE 802.11n 版 本 信息 


这 里 是 草案 的 意思 ， 即 该 版 本 为 规范 草 


2013 年 制定 ， 并 计划 在 2014 年 对 外 发 布 。 一 一 译 者 注 ]}。 


11n 标准 中 ， 使 用 MIMO 最 多 利用 4 个 空间 数据 流 ， 而 在 IEEE 802.11ac 中 ， 则 


最 多 能 够 使 


| 8 个 数据 流 。 每 个 信道 增加 20MHz 或 40MHz 的 带宽 ， 能 够 使 用 80MHz 或 


160MHz 带宽 的 信道 。 如 果 使 用 160MHz 信道 配 和 8x8MIMO ， 则 最 大 通信 速率 能 够 达到 


6.93Gbit/s。 


06.03.07 I 


EEE 802.11ad 


IEEE 802.11ad 使 用 无 需 许可 的 60GHz 频带 ， 是 计划 于 2013 年 完成 制定 的 最 新 传输 标准 。 


虽然 该 标准 使 用 高 频频 带 导 致 传输 距离 只 有 几米 远 ， 


率 、 完 成 高 速 通信 。 


06.03.08 Wi-Fi 


Wi-Fi 是 在 使 


在 酒店 或 公 出 
Wi-Fi 认证 。 


除了 个 人 计算 机 外 ， 家 电 以 及 游戏 设备 


但 是 能 够 达到 最 大 6.8Gbit/s 的 传输 速 


用 了 IEEE 802.11 系列 标准 的 无 线 通信 设备 进行 组 网 时 ， 认 证 不 同 厂商 生产 的 
各 个 设备 之 间 能 否 互 联 互 通 的 品牌 标识 。 由 业界 团体 Wi-Fi 联盟 完成 互联 互通 的 认证 {[Wi- 
Fi Alliance 的 Web 站 点 (英语 ) 是 http://www.wi-fi.org/。]}。 


设施 中 经 常 可 以 看 到 “能 够 使 用 Wi-Fi” 的 标识 ， 这 就 表示 此 处 的 接 入 点 已 通过 


均 能 够 接受 Wi-Fi 的 认证 。 


凡是 经 Wi-Fi 认证 的 无 线 客户 端 设 备 或 接 入 点 均 能 够 无 障碍 地 互联 互通 


Wi-Fi 还 定义 


了 类 似 WPA 这 类 无 线 加 密 的 相关 标准 。 


OIED KFD 


CERTIFIED™ 


b@ WiLD" 


CERTIFIED” 


图 6-6 Wi-Fi 的 Logo 


06.04 ”无 线 LAN 搭载 的 各 种 功能 
06.04.01 关联 


CERTIFIED® 


CERTIFIED 


线 LAN 接 入 点 完成 连接 工作 。 


无 线 LAN 终端 同 接 入 点 的 连接 过 程 称 为 关联 (Association) 《图 6-7) 。 在 进行 关联 操作 


时 ， 个 人 计算 机 的 无 线 LAN 适配器 必须 处 于 工作 状态 。 


无 线 LAN 1) 扫描 

2) 认证 请 求 
3) 认证 应 答 
4) 关联 请 求 
5) 关联 应 答 


中 


由 


了 ， 根 据 扫描 结果 获取 信道 或 SSID 信息 

(3):; 执行 开放 认证 或 共享 密 钥 认证 

DO: 接 入 点 接收 来 自 客户 端 的 关联 请 求 ， 如 果 请 求 无 误 ， 则 回复 状态 码 为 
“success” 的 应 答 消息 


图 6-7 关联 操作 的 流程 
在 无 线 LAN 中 ， 有 时 个 人 计算 机 (客户 端 ) 可 以 和 多 个 接 入 点 进 


SSID 相 一 致 的 接 入 点 。 


接 入 点 会 定期 发 送 名 为 灯塔 (beacon) 的 控制 信号 。 无 线 LAN 的 客户 端 外 E 够 根据 灯塔 控 人 


信号 ， 获 得 AP 的 SSID 信息 、 文 持 的 无 线 传 输 速率 以 及 无 线 信道 编号 等 信息 


客户 端 在 关联 过 程 中 ， 疝 接 入 点 发 送 关 联 请 求 数据 帧 ， 接 入 点 收 到 请 求 后 则 向 客户 端 


带 状态 码 的 关联 应 答 数据 帧 。 


二 


客户 端 会 确认 来 自 接 入 点 的 状态 码 ， 如 果 得 到 “successful" 的 信息 时 表示 关联 成 功 ， 如 果 返 


使 用 无 线 LAN 的 个 人 计算 机 连接 至 互联 网 或 有 线 LAN 时 ， 需 要 使 用 基础 设施 模式 ， 通 


通过 无 


返回 


H 


了 连接 ， 这 时 就 需要 将 目 
标 接 入 点 的 SSID 信息 注册 到 个 人 计算 机 中 。 这 样 ， 个 人 计算 机 就 只 能 接 入 SSID 同 注册 


附 


回 


的 是 其 他 信息 则 表示 失败 。 客 户 端 在 收 到 “successful* 的 同时 ， 还 会 分 配 到 一 个 名 Association 


ID (AID) 的 识别 号 。 
在 进行 无 线 LAN 认证 (参见 后 文 ) 上 时， 关联 需 在 无 线 LAN 通过 认证 后 才能 进行 。 
关联 过 程 使 用 的 MAC 数据 帧 如 图 6-8 所 示 。 


Frame Du 的 ion |Address116) |Address216) |Address316)】 |Sequence Address4 16 rs FCS (4) 
Control 1/D Control ( 2) 
(2} 


( ) 内 单位 为 octet 


Protocol |Type (2)|SubType (4) | EE WEP: 值 为 1 则 表示 WEP 的 
a > = | ”数据 帧 体 加 密 


人 内 单位 为 bit 


IEEE802.11 的 MAC 数据 帧 类 型 分 为 3 类 。 

万 管理 数据 帧 ( Managed Frame ) 

人 -1 传递 无 线 信息 的 灯塔 ( Beacon ) 数据 帧 :默认 时 每 100 毫秒 由 接 入 点 广播 。 

人)-2 认证 使 用 的 认证 数据 帧 : 接 入 点 和 客户 端 之 间 进 行 信息 交互 时 使 用 的 关联 数据 帧 。 

2 控制 数据 帧 { Control Frame ) 

外” 纯 数据 帧 ( Data Frame )， 管 理 数据 帧 中 使 用 “Address 1" 表示 目的 地 地 址 ，"Address 2" 表示 发 送 源 
地 址 ,“Address 3" 表示 BSSID 信息 


图 6-8 IEEE 802.11 中 使 用 的 MAC 数据 帧 
IEEE 802.11 MAC 帧 的 数据 域 


表 6-7 汇 总 了 


表 6-7 IEEE 802.11 MAC 帧 的 数据 域 


图 6-8 中 各 MAC 帧 的 数据 域 相关 说 明 。 


数据 域 说 明 
Protocol Version | 表明 使 用 IEEE 802.11 协 议 的 版 本 。 接 收 终端 根据 该 信息 判断 是 否 支 持 接收 数据 帧 的 协议 版 
(协议 版 本 ) | 本 
Type (类 型 ) 。 | 表示 数据 帧 的 功能 。 有 控制 (control) 、 数 据 (data) 、 管 理 (management) 三 种 
byPpe (于 类 | 每 个 数据 帆 关 型 均 有 若干 个 子 类 型 ， 用 于 执行 革 类 型 下 特定 的 功能 


To DS 与 From |DS 是 指 分 布 式 系统 (Distributed System) ， 一 般 只 用 在 与 接 入 点 关联 的 终端 之 间 传 输 的 数 

DS 据 帧 类 型 。“1* :表示 发 送 源 为 信 号 基站 ,， “0 于 示 发 送 源 为 终端 

More Fra 在 将 上 层 分 组 碎片 (fragment) 后 进行 发 送 时 使 用 。“1” 表 示 后 续 存 在 碎片 数据 帧 ，“0” 表 示 

DEP AB 当前 数据 帧 为 最 后 的 碎 卢 数据 帧 或 不 存在 碎片 数据 帧 

Retry “1 表示 再 次 发 送 数据 帧 ，“0” 表 示 不 再 发 送 该 数据 帧 

More Data 表示 是 否 存 在 等 待 后 续 发 送 的 分 组 。“1” 表 示 存 在 后 续 分 组 

WEP 表示 是 否 进行 WEP 加 密 。“1” 表 示 进 行 加 密 

Order “1 表示 数据 帧 严格 按照 strictly ordered (发 送 接收 顺序 无 法 替换 ) 的 标准 进行 发 送 
06.04.02 ” 接 入 点 的 接 入 控制 
通过 对 接 入 点 的 设置 ， 无 线 客户 端 就 能 接 入 互联 网 。 
但 是 ， 由 于 无 线 电 波 肉 眼 不 可 见 ， 因 此 会 造成 外 来 陌生 让 在 未 经 旬 洗 时 擅自 使 用 接 入 点 
的 情况 发 生 。 只 要 在 无 线 信 号 能 够 到 达 的 范围 内 并 知道 SSID， 客户 端 都 能 够 与 接 入 点 进行 
关联 。 为 了 防止 不 明 第 三 者 使 用 接 入 点 ， 可 以 使 用 ESSID 隐身 (ESS-ID stealth) 功能 以 及 
MAC 地 址 过 滤 功 能 。 
ESSID 隐身 
SSID 信息 是 由 来 自 接 入 点 的 灯塔 信号 定期 进行 广播 发 送 的 。 
一 般 而 言 ， 客 户 端 使 用 灯塔 信号 来 确认 同 哪个 SSID 进行 连接 。 
但 是 ， 由 于 无 线 信号 能 够 到 达 的 地 方 ， 无 论 是 谁 都 能 够 通过 灯塔 信号 ， 使 用 对 应 的 客户 端 搜 
索 到 SSID 信息 连接 。 
为 了 遏制 这 类 风险 ， 就 可 以 使 用 不 发 出 灯塔 信号 的 ESSID 隐身 功能 。 客 户 端 需要 通过 其 他 
途径 获得 SSID 信息 ， 并 设置 自身 终端 ， 从 而 完成 隐蔽 的 网 络 连接 。 该 方法 也 可 以 称 
为 “SSID 广播 无 效 化 ”或 “拒绝 Any” 总 
但 是 ， 由 于 SSID 在 无 线 网 络 上 的 传播 并 不 采取 加 密 措 施 ， 当 某 个 无 线 客 户 端 使 用 SSID 同 
接 入 点 进行 关联 时 ， 还 是 可 以 通过 无 线 监控 (窃听 ) 工具 获取 该 无 线 网 络 的 SSID， 因 此 


ESSID 隐身 不 能 说 是 非常 完备 的 安全 对 策 。 


如 果 不 设置 ESSID 隐身 功能 ， 接 入 点 


就 会 定期 广播 SSID 信息 SSID="abcde” 
SSID="abcde” 
SSID="abcdew 7 Ee 无 线 LAN 终端 
A 连接 上 
7 PN ee 


天 网 络 \ 人 要 几 
所 可 中， X < i 
一 一 一 无 线 LAN 的 接 入 点 us SSID=? 


如 果 ESSID 隐身 功能 生效 ， 则 无 法 
有 效 地 获取 SSID 信息 


图 6-9 ESSID 隐身 的 结构 
MAC 地 址 过 滤 


在 接 入 点 中 事先 设置 允许 关联 的 MAC 地 址 列表 ， 能 够 防止 设置 以 外 的 无 线 客户 端 接 入 AP 
使 用 无 线 网 络 的 情况 发 生 ， 该 方法 称 为 MAC 地 址 过 滤 或 MAC 地址 认证 (图 6-10) 。 


| 注册 的 MAC 地 址 | | _ MAC 地 址 


00:11:22:33:44:55 | 00:11:22:33:44: 55 | 

11:22:33:44:55:66 \ 
| 00:00:11:aa:bb:cc | 无 线 LAN 终端 
一 - 一 Je 上 
和 

网 络 ) se 无 线 LAN 终端 
~ 了 未 连接 上 
无 线 LAN 接 入 点 ; 
| MAC 地 址 


aa:bb:cc:11:;22:33 


图 6-10 ”MAC 地 址 过 滤 的 结构 


除了 设置 接 入 点 之 外 ， 还 可 以 通过 RADIUS 服务 器 设置 允许 访问 接 入 的 MAC 地 址 信息 ， 在 
认证 的 同时 完成 MAC 地 址 过 滤 。 但 是 ，MAC 地 址 同样 能 够 通过 工具 伪装 和 冒充 ， 对 能 够 
接 入 无 线 LAN 的 MAC 地 址 进行 监听 ， 就 能 够 得 到 具 本 的 MAC 地 址 信息 ， 因 此 该 方式 也 同 
样 不 能 称 为 完备 的 安全 对 策 。 


06.04.03 ” 接 入 点 的 认证 


在 接 入 点 上 使 用 ESSID 隐身 以 及 MAC 地 址 过 滤 功 能 均 不 能 完全 防止 第 三 者 恶意 访问 的 情 
况 ， 因 此 为 了 彻底 防止 不 明 意图 的 用 户 访问 接 入 点 ， 需 要 执行 认证 行为 。 


IEEE 802.11 作为 最 初 的 LAN 标准 提供 了 名 为 “开放 系统 认证 ?和 “共享 密 钥 认证 ”两 种 认证 方 


to 
开放 系统 认证 


放 系 统 认 证 (Open System Authentication) 属于 无 线 LAN 认证 方式 中 的 一 种 ， 该 方式 无 需 
客户 端 输入 用 户 名 以 及 密码 等 认证 信息 就 能 向 接 入 点 发 出 认证 请 求 。 


2 LAN 接 入 点 能 够 容纳 所 有 接 入 认证 请 求 ， 这 也 就 意味 着 无 论 是 谁 都 能 够 同 接 入 点 进行 


放 系 统 认 证 一 般 用 于 公共 无 线 LAN 中 。 无 论 是 谁 都 能 够 完成 接 入 甚至 是 无 加 密 地 接 入 
LAN， 因 此 在 使 用 中 还 需要 配合 IPsec VPN 或 SSL VPN 技术 来 完成 用 户 最 终 访 问 网 络 的 需 
求 Lo) 


共享 密 钥 认 证 
共享 密 钥 认证 (Shared Key / Authentication) 在 接 入 点 和 客户 端 之 间 进 和 J 无 线 加 密 通 言 时 使 
j。 使 用 WEP 或 WPA 加 密 标 准时 ， 对 接 入 点 以 及 客户 端 预先 设置 同样 的 口令 ， 通 过 该 品 
令 就 可 以 建立 二 者 间 的 无 线 通信 链 路 。 


该 口令 称 为 预 共享 密 钥 (pre-shared key) ， 不 知道 该 预 共享 密 钥 的 客户 端 无 法 和 接 入 点 进行 
关联 。 


IEEE 802.1X 


IEEE 802.1X 是 用 户 认 证 与 访问 控制 


oo 


办 议 ， 不 仅仅 适用 于 无 线 LAN， 有 线 LAN 也 同样 适 


dd 


IEEE 802.1X 认证 如 图 6-11 所 示 ， 由 认证 请 求 方 、 认 证 者 、 认 证 服务 器 3 部 分 组 成 。 请 求 认 
FE 的 终端 (或 终端 上 运行 的 请 求 认 证 的 软件 ) 称 为 认证 请 求 方 (Supplicant) 、 同 终端 相连 
的 接 入 点 、 交 换 机 以 及 其 他 网 络 设 备 称 为 认证 者 (Authenticator) 。 认 证 方式 采用 EAP 
(fxterietble Authentication Protocol， 扩 展 认 证 协议 ) ， 认 证 者 将 来 自 认 证 请 求 方 的 EAP 消 
息 封 装 成 RADIUS 数据 帧 中 继 给 认证 服务 天 ， 当 认 证 服务 器 完成 认证 工作 后 ， 认 证 者 会 通 
知 认证 请 求 方 并 同时 将 认证 请 求 方 视 为 通过 认证 的 终端 ， 以 后 从 该 终端 发 来 的 MAC 数据 帧 
均 能 够 转发 至 LAN 上 的 其 他 终端 或 互联 网 上 。 


认证 信息 使 用 用 户 名 、 口 令 、 数 字 证 书 等 任意 一 种 方式 即 可 ， 对 应 的 认证 协议 有 EAP- 
MD5、EAP-TLS、EAP-TTLS 等 类 型 。 关 于 IEEE 802.1X 认证 的 详细 内 容 可 以 参考 本 书 
02.08.09 节 “ 基 于 端口 认证 ”的 相关 内 容 。 


< 一 一 | 


认证 请 求 方 认证 者 LAN 认证 服务 器 
( 无 线 LAN 终端 ) ( 无 线 LAN 的 接 入 点 ) ( RADIUS ) 
二 EAP 一 一 


环 莒 


802.1X 认 证 一 


图 6-11 IEEE 802.1X 中 的 用 户 认证 


06.04.04 “无线 LAN 通信 的 加 密 


空气 \ 要 在 覆盖 范围 内 就 能 被 第 三 方 接收 到 ， 再 加 上 无 线 LAN 数据 解析 
工具 的 存在 ， 采 意 用 户 能 够 相当 轻松 地 穷 听 他 人 的 无 线 通 信和 内 容 。 


为 了 防止 无 线 通 信 被 窃听 以 及 算 改 ， 必 须 在 无 线 通 信 过 程 中 对 信 |) 
LAN 加 密 一般 有 WEP、WPA、WPA2 等 这 些 标准 。 


随 着 计算 机 能 力 的 提高 ， 加 密 技术 也 迅速 发 展 ， 因 此 尽 可 能 使 
面 本 书 将 会 对 各 类 无 线 LAN 加 密 标准 逐一 介绍 。 


WEP 


ea 


碳 ” 


CC 下 


进行 加 密 处 理 。 无 线 


pai 
| 
Hr 


最 新 的 加 密 标准 比较 好 。 下 


WEP (Wired Equivalent Privacy， 有 线 等 效 保密 ) 是 1999 年 作为 EEE 802.11b 标准 安全 系统 
采用 的 无 线 加 密 技术 ， 通 过 使 用 基于 RC4 算法 的 密 钥 加 密 形 式 完成 无 线 LAN 数据 的 加 密 
(图 6-12) 。 该 加 密 方式 的 密 钥 称 为 WEP key 。 


WEP 一 共有 3 种 加 密 方式 40bit 长 度 的 密 钥 同 24bit 长 度 的 初始 向 量 (IV，Initialization 
Vector) 值 组 成 64bit 长 的 加 密 方 式 ，104bit 长 度 的 密 钥 同 24bit 长 度 的 初始 向 量 值 组 成 


128bit 的 加 密 方式 ， 
式 o 


以 及 128bit 长 度 的 密 钥 同 24bit 长 度 的 初始 向 量 值 组 成 152bit 的 加 密 方 


WEP 属于 最 
加 密 通 信和 最短 也 会 


时 | 


密 0 破解 花费 的 时 间 


也 越 短 ， 因 此 目前 主流 的 


六 | 


128bit 的 总 密 钥 长 


内 至 有 


了 尚未 通过 标准 化 的 、 由 


的 还 采 


128bit 长 度 的 密 钥 和 24bit 的 初始 向 量 值 成 152bit 的 WEP 加 密 方式 进行 通信 。 


设置 WEP 密 钥 =“abc12" 


WEP 密 钥 “abc12” 


无 线 LAN 终端 
Pe Ty 


人 
x. [| 无 线 LAN 终端 
无 线 LAN 接 入 点 < 
| WEP 密 钥 = “xyz98” | 
图 6-12 ”WEP 的 无 线 通 信 加 密 技术 
表 6-8 WEP 密 钥 的 种 类 
ASCII 设 置 16 进 制 设置 
能 够 使 用 的 字符 数字 a-z、A-Z、0-9 A-F、0-9 
40bit (60bit) 的 WEP key 5 字符 10 位 数 
104bit (128bit) 的 WEP key 13 字 符 26 位 数 
128bit (152bit) 的 WEP key 16 字 符 32 位 数 


就 是 WPA (Wi-Fi 


标准 。 该 标准 将 SSID 与 WEP 密 


WPA 

WEP 存在 较 明显 的 脆弱 性 ， 为 了 弥补 该 缺陷 而 制定 的 无 线 LAN 安全 标准 
Protected Access，Wi-Fi 保护 接 入 ) 。 

WPA 是 由 Wi-Fi 联盟 于 2002 年 10 月 发 布 的 Wi-Fi 安全 性 

钥 一 同 加 密 ， 并 且 使 用 了 能 够 定期 自动 更 新 用 户 

Integrity Protocol， 临 时 密 钥 完整 性 协议 ) 。 


WPA 原本 属于 2004 年 制定 的 IEEE 
802.11a/b 等 早期 标准 的 很 


了 公布 。 


802.11i 
也 能 够 使 


E 件 设 


WPA ] 
Mode 


提供 
两 种 模式 ° 

在 个 人 模式 中 的 WPA 
的 预 共享 密 钥 (PSK， 


也 称 为 WPA-PSK， 


Pre-shared Key) 方式 。 


企业 模式 的 WPA 主要 


中 加 密 标准 的 一 部 分 ， 
j WPA ， 因 此 该 加 密 标准 先 于 IEEE 802.11i 进行 


同 接 入 点 之 间 连 接 的 客 


于 企业 网 络 ， 在 PSK 的 基础 上 增加 了 IEEE 802.1X 认证 服务 器 ， 


得 不 同 


j 户 能 够 使 


霸 


不 


司 的 用 


认证 功能 和 密 钥 的 TKIP (Temporal Key 


但 为 了 使 实现 了 IEEE 


于 小 规模 的 个 人 模式 (Personal Mode) 和 用 于 企业 的 企业 模式 (Enterprise 


户 端 使 用 所 有 密 钥 都 相同 


使 


户 名 和 密码 连接 至 接 入 点 。 


表 6-9 WEP 与 TKIP 的 比较 


WEP TKIP 
密 钥 长 度 40bit 或 104bit 128bit 
初始 向 量 24bit 48bit 
密 钥 更 新 无 有 
加 密 算法 RC4 RC4 
防 纂 改 无 通过 MIC 机 制 防 自 改 
WPA2 
WPA2 是 Wi-Fi 联盟 于 2004 年 9 月 发 表 的 新 版 WPA 标准 ， 采 用 AES 作为 加 密 算法 。AES 
多 用 于 IPsec 以 及 SSL 等 协议 中 ， 同 WEP、WPA 所 使 用 的 RC4 相 比 ， 加 密 的 安全 性 更 高 
( 表 6-10) 。AES 支持 长 度 为 128bit、196bit、256bit 的 密 钥 ，WPA2 使 用 其 中 的 128bit 
长 度 类 型 。WPA2 兼容 前 一 代 WPA， 支 持 WPA2 的 硬件 设备 和 只 支持 WPA 的 设备 也 能 够 进 
行 通信 。AES 中 采用 了 类 似 TKIP 的 协议 CCMP (Counter mode CBC-MAC protocol, CBC- 
MAC 计数 模式 协议 ) ， CBC-MAC (cipher block chaining/message authentication code) 
密码 段 连接 / 消息 认证 码 的 意 vv ° 
接 入 点 的 加 密 设 置 可 以 选择 WPA-PSK (TKIP) 、WPA-PSK (AES) 、WPA2-PSK (TKIP) 


或 WPA2-PSK (AES) 


IEEE 802.11i 


IEEE 802.11i 是 


WEP 加 密 标准 ， 


IEEE 在 2004 年 


0 


日 其 安全 性 尚 不 足以 保障 


对 此 ， 


IEEE 802. 11i 


成 为 了 


Wi-Fi 联盟 使 


IEEE 802.11i 


4 J 


上 


~“ 


的 部 分 内 容 人 


es 


信 标 准 


几乎 包 提 


与 EAP 作为 用 


户 


认 记 


的 标准 。 


表 6-10 WEP/WPA/WPA2 的 比较 


障 高 安 


高 安全 的 3 


新 版 无 线 LAN 安全 性 
FE 为 WPA 加 密 标准 i 


WPA、WPA2 的 所 有 内 容 ， 


完成 标准 化 的 无 线 LAN 安全 标准 。 


重信 过 程 。 


前 无 线 LAN 有 


标准 。 在 该 标准 


的 标准 


作 完 成 之 前 ， 


进行 了 发 布 。 


另外 还 添加 


ST IEEE 802.1X 


标准 制定 时 间 


1997 年 


WEP 
(IEEE 802.11) 


WPA 
(Wi-Fi 
Alliance) 


2002 年 2004 年 


WPA2 
(IEEE 802.11i) 


加 密 方式 


WEP 


TKIP CCMP 


加 密 算法 


RC4 AES 


WEP 


(IEEE 802.11) 


数据 完整 性 保 
证 


基于 CRC32 的 校 验 和 


WPA 
(Wi-Fi 
Alliance) 


MIC 


WPA2 
(IEEE 802.11i) 


MAC) 


CCM (Counter with CBC- 


认证 方式 


自身 不 提 仁 


t 但 可 和 IEEE 802.1X 配合 


PSK 或 IEEE 
802.1X 


PSK 或 IEEE 802.1X 


安全 强度 


强 


06.04.05 ”自治 型 接 入 点 


能 够 自身 进 4 
Access Point) ， 


与 其 相对 


行 无 线 控制 以 及 安全 管理 
的 概念 是 集 


台 芭 ;用量 


的 


功能 设 


接 入 点 称 为 


中 管理 型 


接 入 点 。 


部 署 


治 玫 


无 线 LAN 时 ， 
ZI AN 
用 


的 安全 策略 等 


型 接 入 点 较为 轻松 ， 
参数 设 YL 


ty 


也 相对 低 月 


JJ 


置 时 ， 需 要 重新 i 


06.04.06 ”集中 管理 型 接 入 点 


在 大 规模 办 公 


很 的 范 


| 


mn 


内 部 署 LAN 时 ， 


“在 多 台 接 入 点 环境 
帮 定 每 一 台 接 入 点 。 


治 型 接 入 点 (Autonomous 


在 通过 1 台 或 者 多 人 台 的 接 入 点 构建 


， 若 想 


性 老 


理 的 接 入 点 数 


庞大 。 


非常 


A 而 


需 保留 最 基本 


的 设置 


组 网 共 


共同 的 参数 则 通过 


LAN 交换 机 ) 


的 深入 点 就 你 全 集 


jh 二 用 


型 接 入 点 


的 硬件 设 


o 


2002 年 Airspace 公司 ( 
点 协议 ) ,ji 
交 给 无 线 LAN 控制 器 ， 


轻型 接 入 
久 及 安全 等 功 


上 


Protocol, 
认证 


Access Point) 


0 


在 RFC5412 文档 中 进行 
CAPWA 


RFC 标准 体系 中 ， 


能 则 


目 二 


> hh 


2005 年 被 思科 公司 收购 ) 
， 通 过 该 协议 接 入 点 能 够 只 需 完成 MAC 管 
这 样 的 接 入 4 点 称 为 轻 理 接 入 点 (Light weight 


的 接 入 点 


不 


管 是 哪个 厂家 生产 的 都 可 以 进行 上 壕 


管理 ， 这 类 无 线 


设置 


kel 


管理 


A 和 
己 再 


蓝 述 ， 


但 标准 化 


作 却 


点 的 控制 和 配置 ) 


的 制 


a 


口 
0D 


容 制 
接 入 点 品 
持 CAPWAP 。 


新 上 市 


类 型 以 及 软件 版 本 的 不 同 ， 
一 般 都 支持 CAPWAP 。 


的 产品 


无 线 LAN 控制 器 有 


接 入 点 ， 也 有 供 大 规模 无 线 LAN 网 络 使 


Sy 


以 上 的 接 入 点 。 


定 基于 LWAPP 协议 ， 


小 规模 无 线 LAN 网 络 


行 ， 


能 天 


P (Control And Provisioning Of Wireless Access Points, 


已 


有 些 


通过 RFC5415 


口 


产品 只 


中 


入 


的 产品 


十 


用 的 控 


06.04.07 无线 LAN 的 桥接 


在 无 法 布线 的 楼 宇 之 间 以 及 在 物理 位 置 相距 较 远 的 站 ， 


LAN 的 桥接 技术 。 


在 通信 距离 较 长 时 ， 


导向 天 线 来 增强 


器 产品 ， 


例如 1 台 控 制 
例如 1 台 控 人 


此 只 能 放 于 Historic 分 
无 线 ] 


以 及 RFC5416 完成 了 标准 


支持 LWAPP 协议 ， 而 有 些 产 品 


有 Ee LWAPP b 


这 
称 为 无 线 
LAN 中 


发 了 LWAPP (Lightweight Access Point 
里 和 数据 帧 控 


制 ， 


类 


器 管理 


10 台 左 右 的 


制 器 控 


制 多 达 2000 


点 之 间 部 署 无 线 连 接 时 ， 需 要 使 


无 线 


某 个 特定 方向 的 电波 强度 。 


个 人 计算 机 


图 6-13 桥接 示意 图 
06.04.08 ”中 继 器 连接 


够 扩大 无 线 LAN 的 范 


通过 连接 中 继 器 ， 将 从 无 线 LAN 客 


1 级 中 继 器 连接 后 ， 网 络 春 吐 率 会 减 半 。 


图 6-14 中 继 器 连接 图 
06.05 ”无 线 LAN 通信 速率 与 覆盖 范围 的 要 点 


参考 无 线 LAN 标准 ， 可 以 得 知 正 EE 802.11b 最 大 支持 11Mbit/s 的 传输 速率 ，IEEE 802.11g 


最 大 支持 54Mbits 的 传输 速率 ， 不 过 需要 注意 这 上 


户 端 收 到 的 数据 转发 给 扫 
围 〈 图 6-14) 。 


无 线 LAN 接 入 点 


个 人 计算 机 


有 相同 SSID 的 接 入 点 ， 


有 的 速率 数据 都 是 在 最 优 条 件 下 得 


无 线 LAN 和 有 线 LAN 不 同 ， 通 信 速 率 根据 与 接 入 点 之 间距 离 的 变化 以 及 建筑 物 、 


理 障碍 物 阳 


挡 程 度 的 不 同 ， 


06.05.01 无 线 LAN 的 最 大 通信 速率 
虽然 说 有 线 LAN 的 以 太 网 类 也 有 最 大 通信 


IEEE 802.11g 的 54Mbits 都 表示 的 是 在 物理 


会 有 很 大 差异 。 


速率 


4、 
云 人 


就 能 


出 


的 值 。 


的 限制 ， 但 是 快速 以 太 网 的 100Mbit/s 和 
行 数据 通信 时 的 传输 速率 极 民 


区 “。 


另外 ， 
时 间 。 


06.05. 


由 于 在 无 线 LAN 中 使 


了 


02 


丸 此 了 7 


了 CSMA/CA 的 冲突 回避 协议 ， 


得 数据 在 发 送 时 有 等 待 的 


六 


覆盖 范围 


线 LAN 实际 的 最 大 通信 速率 一 般 在 IEEE 802.11a 中 只 能 达到 20 多 Mbit/s， 
IEEE 802.11b 中 只 能 达到 4.5Mbits， 在 IEEE 802.11g 中 只 能 达到 20Mbits 左右 。 


在 nn 终端 能 够 同 接 入 点 进行 通信 的 最 大 距离 半径 称 为 覆盖 范围 (coverage 
也 称 为 小 区 (cell) 


area) 


传输 速度 ) 也 会 有 所 不 同 ， 离 接 入 点 越 远 ， 通 信 延 迟 越 大 ， 数 据 传输 速率 也 就 越 低 。 在 没有 
障碍 物 的 前 担 下， 无线 LAN 的 履 盖 范 


图 6-15 ”通信 覆盖 的 范围 
不 同 无 线 LAN 标准 的 数据 传输 速率 


IEEE 802.11a/b/g 


。 根 据 终 端 同 接 入 点 之 间距 离 的 不 同 ， 最 大 数据 传输 速率 〈 最 大 


站 如 图 6-15 所 示 ， 呈 同心 圆 状 分 布 。 


址 


11Mbit/s 
5.5Mbit/s 


2Mbit/s 


1Mbit/s 


采用 OFDM 调制 方式 提供 了 8 个 数据 传输 速率 ，DSSS 调制 方式 则 提供 


了 4 个 数据 传输 速率 ( 表 6-11) 
表 6-11 IEEE 802.11a/b/g 的 数据 传输 速率 


标准 


IEEE 802.11a OFDM 


调制 方式 数据 传输 速率 (Mbivs) 


6/9/712/ 18/ 24/ 36/ 48/ 54 


IEEE 802.11g 


DSSS 、 OFDM 12A5.5A6A9T1LA121824364854 


IEEE 802.1ln 的 数据 传输 速率 


IEEE 802.11b DSSS 


125.511 


IEEE 802.11n 使 用 OFDM 调制 方式 ， 能 够 根据 各 种 可 选调 制 方式 与 符号 速率 ， 定义 0 至 31 
个 MCS 索引 (Modulation and Coding Scheme index) ， 每 个 MCS 索引 又 分 别 定义 了 一 -种 数 


据 传输 速 


率 o 


人 


表 6-12 列 出 了 各 MCS 索引 使 用 的 数据 流 数量 、 调 制 方式 以 及 数据 传输 速率 。 


人 (GI，Guard Interval) 工 的 组 合 在 每 个 MCS 中 存在 4 
员 式 。 


1 当 庆生 幼 或 博时 和 本 来 的 无 线 电波 经 过 多 条 路 和 到 流 接收 方 (多 径 传输 ) 时 ， 延 迟 的 信号 可 能 会 与 后 续 信号 同时 到 
达 ， 这 会 造成 多 个 数据 信号 合成 电磁 波 进而 形成 噪音 干扰 的 现 为 了 多 上 上 汉 利 吕 干 护 ， 需 要 复制 部 分 后续 数 
则 来 制造 出 前 后 信号 之 问 的 间隔 ， 该 间隔 即 称 为 保护 间 陋 。 
使 用 20MHz 作为 信道 带宽 的 称 为 HT20 模式 ， 使 用 40MHz 作为 信道 带宽 的 则 称 为 HT40 模 
5 
在 IEEE 802.1ln 甬 过 MIMO 技术 能 够 将 发 送 数据 分 割 成 多 个 数据 流 (stream) 即 数 据 
信道 ) ， 全 条 外 立 的 歼 据 演 遂 过 区 个 天 线 使 相同 的 频带 同时 发 送 。 在 使 用 HT40 模式 时 ， 
单个 数据 流 能 够 获得 150Mbit/s 的 看 量 ， 因 此 在 根据 IEEE 802.11n 标准 使 用 最 多 4 条 数据 
流 时 ， 理 论 上 能 够 得 到 最 大 600Mbits 的 数据 传输 速率 。 
在 HT20 模式 下 时 ， 单 个 数据 流 最 大 也 能 够 获得 75Mpbs 的 吞吐 率 。 
对 HT40 模式 继续 扩展 ， 使 用 80MHz 或 160MHz 作为 信道 带宽 时 ， 能 够 得 到 2 倍 甚至 4 们 
于 IEEE 802.1ln 的 通 言 速率 ， 目 前 能 够 实现 该 通信 速率 的 IEEE 802.11ac 标准 正在 制定 中 。 
在 IEEE 802.11n 中 使 用 2.4GHz 频带 时 ， 如 果 每 条 信道 使 用 20MHz 的 带宽 ， 最 多 也 够 有 3 
条 信道 同时 工作 ， 而 如 果 使 用 40MHz 带宽 则 只 有 1 条 可 用 信道 ， 因 此 在 2.4GHz 频带 下 几 
乎 不 使 用 HT40 模式 。 
宁 护 间隔 在 IEEE 802.11a/g 使 用 的 800ns 基础 上 ， 又 添加 了 400ns。 

前 《2011 年 9 月 ) 市 场 上 只 有 支持 两 条 数据 流 的 产品 ， 支 持 所 有 数据 速率 的 无 线 LAN 硬 
牛 尚未 出 现 。IEEE 802.11n 中 HT20 模式 可 以 选择 400ns 作为 数据 传输 速率 的 保护 间隔 ， 也 
尚 无 支持 该 项 特性 的 无 线 模 块 在 市 场 上 销售 。 

表 6-12 各 MCS 索引 对 应 的 数据 传输 速率 
数据 传输 速率 (Mbit/s) 
MCS 索 引 | 数据 流 数量 | 载波 调制 方式 | 符号 速率 HT20 HT40 
GI=800ns | GI=400ns | GI=800ns GI=400ns 

0 BPSK 1/2 6.5 2 3 15.0 
NE QPSK 1/2 13.0 14.4 27.0 30.0 
2 QPSK 3/4 19.5 2.7 40.5 45.0 
这 16-QAM 1/2 26.0 28.9 54.0 60.0 
4 16-QAM 3/4 39.0 3 81.0 90.0 
5 64-QAM a3 52.0 57.8 108.0 120.0 
6 64-QAM 3/4 58.5 65.0 1215 1350 
2 64-QAM 5/6 65.0 2 135.0 150.0 
8 BPSK 2 13.0 14.4 <x.0 30.0 
9 QPSK 1/2 26.0 28.9 54.0 60.0 
10 QPSK 3/4 39.0 ee 81.0 90.0 
下 16-QAM 1/2 520 57.8 108.0 120.0 
凡 E 16-QAM 3/4 78.0 86.7 162.0 180.0 
1 64-QAM 23 104.0 115.6 216.0 240.0 
14 64-QAM 3/4 有 ya 130.0 243.0 270.0 
15 64-QAM 5/6 130.0 144.4 270.0 300.0 
16 a BPSK 1/2 19.5 2 40.5 45.0 
17 QPSK 1/2 39.0 43.3 81.0 90.0 
18 QPSK 3/4 58.5 65.0 121.5 135:0 
19 16-QAM 1/2 78.0 86.7 162.0 180.0 
20 16-QAM 3/4 E70 130.0 了 人 270.0 
21 64-QAM 2/3 156.0 T1733 324.0 360.0 


22 64-QAM 3/4 1755 195.0 364.5 405.0 
23 64-QAM 5/6 195.0 216.7 405.0 450.0 
24 BPSK 1/2 26.0 28.9 54.0 60.0 
25 QPSK 1/2 52.0 57.8 108.0 120.0 
26 QPSK 3/4 78.0 86.7 162.0 180.0 
27 16-QAM 1/2 104.0 115.6 216.0 240.0 
28 16-QAM 3/4 156.0 9833 324.0 360.0 
29 64-QAM 2/3 208.0 231.1 432.0 480.0 
30 和 64-QAM 3/4 234.0 260.0 486.0 540.0 
31 64-QAM 5/6 260.0 288.9 540.0 600.0 
多 径 


MIMO 使 用 配 有 天 线 的 多 个 无 线 通信 线路 使 通信 速率 大 幅 上 升 。 


空间 上 相互 独立 的 多 个 天 线 会 同时 发 送 频率 相同 的 无 线 信号 (图 6-16) ， 各 个 同 频 信和 号 
可 以 称 为 空间 数据 流 。 各 空间 数据 流 由 发 送 天 线 进行 路 径 ”分割 ， 最 终 到 达 多 个 接收 天 


线 


发 送 方 使 用 空 时 编码 (STC，Space-Time Coding) 将 发 送信 号 在 时 间 和 空间 上 进行 重组 


O 


形成 并 列传 输 信号 ， 然 后 通过 M 个 天 线 发 送 通信 电波 。 


接收 方 通过 N 个 天 线 接收 多 径 传输 来 的 无 线 电波 ， 同 样 使 用 空 时 解码 (STD，Space- 


Time Decoding) 对 信号 进行 分 离 组 合 ， 从 而 成 功 接 收 所 有 信号 。 


@) 接收 天 线 接收 来 自 于 多 
个 发 送 天 线 的 混合 信号 


中 通过 在 时 间 和 空间 上 对 信息 进行 组 合 与 埠 
换 ， 将 发 送 数据 分 离 成 M 个 数据 流 。 通 过 
M 个 发 送 天 线 在 空间 中 发 送 。 


传输 容量 基本 与 天 线 
数量 成 正比 


(3) N 个 接收 天 线 接收 无 线 电波 后 ， 进 行 空 时 
解码 ( STD ) ， 去 除 混杂 在 多 个 信号 中 的 
干涉 信号 ， 将 不 同 的 信号 分 离 


6-16 ”使 用 MIMO 进行 无 线 通信 


4 将 分 离 的 信号 组 合 ， 


形成 接收 数据 


话 滩 学 潍 


在 多 径 传输 中 通过 使 用 多 条 路 径 ， 能 够 与 天 线 数量 (空间 数据 流 ) 形成 正比 来 提高 无 线 


数据 的 传输 速度 。 


指 空间 上 的 传输 路 径 。 多 个 路 径 汇总 


Ei 
5EE 
则 


区 成 多 径 传播 。 


天 线 数量 


如 图 6-17、 图 6-18 中 所 示 ， 支 持 IEEE 802.11n 标准 的 无 线 LAN 接 入 点 同时 带 有 多 个 天 线 。 


空间 数据 流 的 数量 依赖 于 天 线 的 数量 ， 一 般 使 用 “axb:c” 或 “axb” 来 表示 无 线 LAN 硬件 所 和 使 


jf 于 


的 天 线 数量 。a 表示 发 送 天 线 或 发 送 的 无 线 信 号 数量 ，b 表示 接收 天 线 或 接收 的 无 线 信和 号 


数 两 ，c 表示 可 以 利 


用 的 最 大 空间 数据 流 的 


数量 。IEEE 802.11n 最 大 支持 4x4:4 的 数量 。 


IEEE 802.11n 对 应 的 无 线 LAN 装置 一 般 有 2x2:2，2x3:2，3x3:2 等 规格 。 例 如 2x3:2 表示 由 


2 根 发 送 天 线 与 3 根 接收 天 线 组 成 ， 使 用 2 个 空间 数据 流 进行 无 线 数据 的 传输 。 


全 


也 有 硬件 规格 说 明 ; 


;中 采用 了 “天 线 : 3 根 发 送 、3 根 接收 ”这 种 形式 来 描述 。 


6-17 3x3:3 规格 的 WZR-450HP (Buffalo 公司 ) 


6-18 ”2x2:2 规格 的 WHR-HP-G300N (Buffalo 公司 ) 


2x2:2 


收发 天 线 各 有 两 根 ， 整 体 使 


2MHz 带 宽 进 行 通信 


。 最 大 速率 为 144.4MHz 


使 
数 


2x3:2 


2 根 天 线 同时 发 送 ， 使 
据 进行 整合 ， 合 成 效果 


3 根 天 线 进行 接收 。 收 发 均 使 


样 化 ， 即 使 在 


障碍 物 阻 挡 导致 无 线 信号 反射 的 环境 下 


两 条 数据 流 进行 。 ee 


E 够 稳定 地 通信 


4x4:4 


收发 均 使 


4 根 天 线 进行 ， 


使 


40MHz 带 宽 。 通 信 速 率 约 为 2x2 结 构 的 2 倍 


06.05.03 干涉 


为 两 个 波 振 
干涉 现象 


在 电气 传输 中 
出 现 的 雷 声 


在 无 线 通信 中 
收发 ， 这 这 个 传输 


在 电磁 波 能 够 到 达 
干涉 现象 。 


Hr 


上 


oo 


只 


会 

造成 
不 
路 


“ 生 电 磁 波 ， 但 出 


同 的 、 


的 范 


必 童 机 杂音 


径 就 称 为 信道 


的 混入 等 。 
电波 均 有 各 


o 


We a ee 


首 (channel) 


果 多 


围 内 ， 如 


个 无 线 LAN 系统 在 


六 了 一 


上 


另外 ， 如 同 打雷 造 


线 LAN 数据 的 电磁 波 发 生 证 


也 属于 干涉 现象 。 


成 收 


音 机 杂音 
E 合 ， 就 会 破坏 传输 的 数据 进而 造成 无 


的 例子 ， 那 些 诸如 雷电 


百 


自 的 传输 路 径 ， 


在 


根据 词典 的 解释 ， 波 的 干涉 意 为 “两 个 以 上 相同 种 类 的 波 在 某 点 相遇 时 ， 使 该 点 处 波 的 振幅 
卫 之 和 的 现象 "*。 不 仅仅 是 无 线 LAN 使 用 的 电磁 波 有 该 现象 ， 


时 现 预料 之 外 的 电磁 波 就 是 造成 干涉 现象 的 原因 。 


光波 、 声 波 均 会 发 


比如 突然 


上 进行 数据 的 


、 微波 炉 


条 信道 内 


携带 的 


Eb 


位 波 如 果 和 载 有 无 


通信 的 结果 。 这 类 情况 


防止 打雷 这 类 电磁 波 带 来 的 影响 非常 困难 ， 但 是 避免 来 自 其 他 无 线 LAN 系统 的 干涉 还 是 可 


以 通过 更 改 信 道 信 |， 筷 做 到 的。 


06.05.04” 无线 LAN 信道 


无 线 LAN 标准 中 使 用 2.4GHz 和 5GHz 频带 ， 各 频带 均 存在 多 条 信道 。 在 办 公 室内 设置 接 入 
点 时 ,为 了 防止 干涉 需要 将 信道 设置 为 内 咀 式 。 (图 6-19) 


”信道 11 信道 11 


会 发 生 干 涉 的 信道 设置 


图 6-19 ”防止 干涉 的 信道 设置 
IEEE 802.11b 的 信道 


不 会 发 生 干 涉 的 信道 设置 


IEEE 802.11b 中 定义 了 从 1 至 14 的 14 个 信道 。 但 并 不 是 说 ， 只 要 选择 了 数字 不 相同 的 信道 
就 一 定 不 会 发 生 干 涉 。 


如 图 6-20 所 示 ，1ch 使 用 的 频带 同 2ch~5ch 使 用 的 频带 有 一 定 的 重合 ， 因 此 还 是 会 发 生 干 
MA 能 够 使 用 不 发 生 干 涉 的 最 大 信道 数量 有 4 个 (1ch、6ch、 
11ch、14ch) 。 


如 果 附 近 有 使 用 了 1ch 的 无 线 LAN 系统 ， 则 须 将 2ch、7ch、12ch 这 三 组 信道 组 合 使 用 。 


与 信道 1 不 会 发 生 干 涉 的 只 
信道 1 信道 6 信道 6~14 ( 其 中 信道 14 只 在 
11b 标准 中 定义 ) 


2.401GHz 2.483GHz 2.495GHz 
图 6-20 IEEE 802.11b 的 信道 干涉 
表 6-13 IEEE 802.11b 的 信道 与 频带 


信道 Ri 中 心 频带 (GHz) 
下 限 上 限 
1ch 2.401 2.423 2.412 
2ch 2.406 2.428 ZA417 
3ch 2.411 2.433 2422 
4ch 2.416 2.438 2427 


六 


5ch 2.421 2.443 2.432 
6ch 2.426 2.448 47 
7ch 2.431 2.453 2.442 
8ch 2.436 2.458 2.447 
9ch 2.441 2.463 2.452 
10ch 2.446 2.468 2 
11ch 2.451 2.473 2.462 
12ch 2.456 2.478 2.467 
13ch 2.461 2.483 2.472 
14ch 注 1 2.473 2.495 2.484 

E 1: 只 有 IEEE 802.11b 中 存在 。 


IEEE 802.11a 的 信道 


IEEE 802.11a 是 使 


5GHz 频带 的 无 线 LAN 标准 。 在 该 标准 颁布 时 ， 由 于 日 本 无 线 电 管理 


法 对 该 频段 有 所 限制 ， 因 此 日 本 分 割 的 频带 同 美国 、 欧 洲 有 很 大 的 不 同 。 

在 2003 年 的 世界 无 线 通信 大 会 上 ， 诸 国 对 5GHz 频带 的 分 配 意见 达成 共识 ， 因 此 日 本 也 于 
2005 年 修改 了 无 线 电 管理 法 相关 法 规 。 

如 此 一 来 ， 各 无 线 信 道 的 中 心 频带 以 10MHz 划分 ， 同 国际 标准 一 致 ， 而 上 有 在 原 有 的 基础 上 
又 添加 了 5.25~5.35GHz (室内 使 用 无 需 许可 ) 与 4. .0GHz (室外 使 用 ) 两 个 频带 。 其 中 


4.9~5.0GHz 频带 了 
工信部 处 于 规划 阶 


另外 ，2007 年 1 月 日 本 再 / 
。 目 前 ， 日 本 在 5GHz 频 旭 


道 《W56) 


无线 LAN 的 接 入 点 还 可 以 


F 2004 年 12 月 由 IEEE 802.11j 完成 了 标准 化 工作 {[ 我 国 5GHz 频带 也 正 有 
段 ，5150-5350MHz 已 划 出 供 Wi-Fi 使 用 。 详 情 可 参考 
http:/www.ccstock.cn/finance/hangyedongtai/2013-08-07/A1283907.html 。 


译 者 注 ]}。 


度 修改 了 无 线 电 管理 法 ， 又 添加 了 5.47~5.72GHz 之 间 的 11 个 信 
带 能 够 使 用 的 无 线 LAN 信道 有 多 达 19 个 (图 6-21) 。 


在 使 用 支持 IEEE 802.11a 标准 的 无 线 


LAN 接 入 点 时 ， 需 要 注意 其 使 用 的 信道 频带 是 否 符合 


5.15GHz 


通过 升级 固件 将 支持 的 旧 信 道 升级 为 支持 新 的 信道 。 


5.25GHz 5.35GHz 5.45GHz 


日 本 以 前 使 用 的 802.11a 信道 。 
同 国际 标准 相差 10MHz, 在 
5.2GHz 中 能 够 使 用 4 个 信道 也 
为 日 本 独 有 


国际 标准 802.11a 使 用 的 信 


道 。 新 增 了 4 个 


5.45GHz 


5.65GHz 5.75GHz 


图 6-21 日 本 5GHz 频带 中 信道 的 发 展 
在 IEEE 802.11a 中 J52 标准 范围 内 使 用 时 ， 如 图 6-21 所 示 ， 所 有 信道 均 能 够 无 干涉 地 使 


[eo] 


在 W52 与 W53 标准 范围 内 使 用 时 ， 所 有 信道 也 能 够 无 干涉 地 使 用 ， 
线 信道 不 能 同时 使 用 。 


IEEE 802.11g 的 信道 


pe 


日 J52 和 W52 中 的 无 


在 IEEE 802.11g 标准 中 ， 有 1 至 13 共 13 个 信道 。 频 段 划分 同 IEEE 802.11b 中 lch 至 13ch 
完全 相同 ( 表 6-13) 。 这 些 信道 之 间 最 多 能 够 无 干涉 使 用 的 信道 数量 有 3 个 (如 1ch、6ch 


和 11ch 的 组 合 ) 。 


Pg 


IEEE 802.11g 同 IEEE 802.11a (5GHz 频带 ) 一 样 使 用 OFDM 技术 能 够 支持 最 大 通信 速率 为 
54Mbit/s 的 高 速 传输 。 但 因为 使 用 的 是 2.4GHz 频带 (ISM 频带 3 ) ， 所 以 和 其 他 硬件 间 的 
干涉 较 多 ， 实 际 吞 吐 速 率 要 低 于 IEEE 802.11a 。 


BP Industrial Scientific Medical， 工 业 、 科 学 和 医疗 用 波段 ， 有 很 多 非 通 信和 领域 的 设备 使 用 该 频段 工作 。 一 一 译 者 注 
IEEE 802.1ln 的 信道 


2007 年 6 昌 本 修改 了 无 线 电 管 理 法 。 在 这 之 前 的 无 线 LAN 数据 传输 ， 如 图 6-22 所 示 只 

能 使 用 1 个 20MHz 带宽 宽 的 信道 日 无 线 电 管 理 法 修改 以 后 ， 如 图 6-23 所 示 可 以 同时 使 用 相 
邻 的 信道 ， 在 40MHz 的 带宽 中 传输 数据 。 这 样 一 来 ，IEEE 802.11n 最 大 通信 速率 的 理论 值 
也 从 144.4MHz 提升 到 300MHz 。 


1 个 信道 =20MHz 带宽 


5.17 5.18 5.19 5.2 5.21 5.22 5.23 5.24 5.25 5.26 5.27 5.28 5.29 5.3 5.31 5.32 5.33( GHz ) 
图 6-22 5GHz 频带 下 每 信道 20MHz 中 人 能够 使 用 8 条 信道 


1 个 信道 =40MHz 带宽 


5.17 5.18 5.19 5.2 5.21 5.22 5,23 5.24 5.25 5.26 5.27 5.28 5.29 5.3 5.31 5.32 5.33( GHz ) 
图 6-23 5GHz 频带 下 每 信道 44MHz 中 能 够 使 用 4 条 信道 
06.05.05” 接 入 点 的 最 大 通信 范围 


无 线 LAN 通信 中 ， 离 开 接 入 点 多 远 依然 能 够 进行 通信 ? 和 其 他 无 线 电 产品 类 似 ， 这 一 问题 
的 答案 取决 于 天 线 。 天 线 根据 不 用 的 用 途 分 为 不 同 的 种 类 ( 表 6-14) 。 


家 庭 以 及 小 型 办 公 区 经 常 使 用 不 定向 型 的 天 线 。 在 无 线 LAN 的 通信 距离 中 ， 室 内 覆盖 的 范 
围 一般 在 几 十 米 至 几 百 米 之 间 ， 室 外 覆盖 的 范围 则 常常 需要 达到 几 百 米 至 几 公里 的 程度 。 


表 6-14 天 线 的 种 类 


名 称 人 说 明 


全 方向 天 线 (Omni 


Antenna) 


不 定向 | 能 够 全 方位 发 送信 号 


名 称 是 否定 


说 明 


双 极 天 线 (Dipole Antenna) | 不 定向 0 


2 根 一 波长 或 半 波长 的 细 金 属 棱 制作 的 天 线 ， 一 般 在 接 入 点 中 作为 


的 狭窄 范围 发 出 强力 信号 ， 一 般 在 道路 、 隧 道 、 办 公 室 之 


接线 天 线 (Patch Antenna) | 定向 在 墙壁 或 天 井 处 展开 ， 向 某 一 方向 发 出 信和 号 
八木 天 线 | 


抛物 面 天 线 (Parabola 定向 句 某 一 方向 非常 狭窄 的 范围 


Antenna) 十 使 


发 出 强力 信号 ， 


般 在 连接 长 距离 办 公 


5.5Mbit/s 


5.5Mbit/s 


11Mbit/s 


图 6-24 某 产品 无 线 覆 盖 范 围 示例 
06.06 ”无 线 LAN 的 接 入 点 产品 


1Mbit/s 


06.06.01 产品 规格 书 的 阅读 方法 


无 线 LAN "I 点 产品 的 规格 书 如 表 6-15 所 示 ， 该 规格 书 以 无 线 LAN 搭载 的 各 种 功能 ( 参 
见 06.04 市 ) 以 及 各 传输 标准 信道 的 相关 信息 为 主要 内 容 。 


表 6-15 ”无线 LAN 接 入 点 产品 规格 书 范例 


功能 等 说 明 产品 1 产品 2 
梧 定 端 同 有 线 LAN 连 接 的 接口 数量 与 接口 |10/100BASE-TX |204004000BASE- 
估 n 标准 (RJ-45) x1 
(RJ-45) x1 
天 线 天 线 是 内 置 还 是 外 带 内 置 外 带 
802.11a 本 
(W52/W53) 
) 加 
无 线 网 络 |80211a “W56) | 是否 支持 IEEE 802.11 中 的 各 传输 标 | ， 
2 802.11b/g 准 (参考 06.03 节 ) o o 
5GHz X O 
802.1ln 上 一 一 一 
2.4GHz X Ce 
名 小 类 WE 理论 上 外 i 
最 大 数据 传输 速率 率 (参考 06.05.01 节 54Mbit/s 300Mbit/s 
802.11a 8 8 
802.11b/g 3 3 
同时 工作 的 信 各 标准 能 同时 使 的 信道 数 ( 参 8 (HT20) sd 
道 数 量 5GHz | 考 06.05.04 节 ) 无 (HT40) 
We 3 (HT20) 、 不 支 
A 无 持 (HT40) 
曲 尖 [ 是 能 设置 或 同时 使 用 的 最 大 SSID 数 
最 大 SSID 数 量 (参考 06.04.02 节 ) 16 16 
电源 适配器 (输入 电压 、 交 |AC100V、 
电源 适配器 流 电 源 频率 ) De AC100V 、50/60Hz 
ee 站 二 IEEE 802.3af PoE |IEEE 802.3af PoE 
BOE 是 否 支持 通过 PoP 供 电 (Class 3) (Class 3) 
最 大 消耗 电能 最 大 消耗 电能 15.4W 15.4W 
质量 质量 0.67kg 1.04kg 
工作 温度 正常 工作 的 温度 范围 0~40°C 0~40°C 


06.06.02 无线 LAN 硬件 的 制造 厂商 


于 企业 的 无 线 LAN 产品 以 思科 公司 的 Aironet 为 代表 ，Aruba Networks 公司 、Contec 公司 
4 、Allied Telesis 公司 、Proxim Wireless 公司 、Motorola Solutions 公司 的 产品 均 在 业内 赫赫 
有 和 名。 


4 1975 年 成 立 于 日 本 电子 产品 公司 。 一 一 译 者 注 


Cisco Aireonet 


思科 公司 的 Aireonet 系列 无 线 LAN 产品 在 日 本 以 及 在 全 世界 都 享有 很 高 的 市 场 占有 率 ， 其 
身 是 在 FCC 开放 ISM 频带 后 的 1986 人 私人 5 创办 的 加 拿 大 Telesystem SLW 公司 销 
的 ARLAN 系列 产品 。Telesystem SLW 公司 在 1992 年 被 Telxon 公司 收购 ， 随 无 线 通 
门 在 1994 年 独立 出 来 ， 设 立 了 新 公司 Aironet Wireless Communication。1999 年 思科 公 
购 该 公司 ， 直 至 现今 。 


Se 
了 


5 该 公司 创始 人 为 让 


三 
瑟 


已 无 线 通 信 公 司 的 员工 。 一 一 译 者 注 


o 


Cisco Aironet 系列 产品 的 无 线 LAN 接 入 点 如 表 6-16 所 示 


表 6-16 Cisco Aironet 系列 


型 号 照片 说 明 


1130 
机 双 频 IEEE 802.11avbyg 搂 入 点 产品 。 内 置 天 线 、 外 形 美观 、 部署 
和 方便 ， 适 合 办 公 室 使 用 。 有 自治 型 和 集中 管理 型 两 种 可 以 选择 
AP) 


重视 便捷 部 署 与 节能 ， 多 用 于 企业 的 IEEE 802.11n 接 入 点 产 

品 。 产 品 设计 适用 于 办 公 环境 ， 去 持 标准 的 IEEE 802.3af 
Power over Ethernet， 部 署 方 便 电源 消耗 少 。 能 够 提供 高 可 靠 
性 以 及 稳定 性 的 WLAN 禾 盖 ， 对 于 支持 IEEE 6 11a/b/g 标 准 的 
老 客 户 端 以 及 支持 IEEE 802.11n 的 新 客户 端 均 能 保持 兼容 并 提 
升 了 用 户 体 验 。 有 自治 型 和 集中 管理 型 两 种 可 以 选择 


1250 外 符合 Wi-Fi 802.11n Draft 2.0 标 准 的 商用 型 接 入 点 产品 。 能 够 提 
系列 供 高 可 靠 性 以 及 稳定 性 的 WLAN 和 覆盖 ， 对 于 支持 IEEE 
( 室 \ 忆 802.11a/b/g 标 准 的 老 客户 端 以 及 支持 IEEE 802.1ln 的 新 客户 端 
为 耐 2 都 均 能 保持 兼容 并 提升 了 用 户 体验 。 使 用 了 MIMO (Multiple- 
型 2 Input Multiple- Output, 多 输入 输出 ) 技术 保障 稳定 性 ， 能 够 在 
2 2.4GHz 和 5GHz 频 带 工作 ， 提 供 最 大 300Mbit/s 的 数据 传输 速率 


第 二 代 双 频 IEEE 802.11a/b/g 接 入 点 产品 。 金 属 外 过， 经 久 耐 

° 适应 工作 温度 的 范围 广 。 通过 加 装 外 部 天 线 ， 能 够 覆盖 很 
大 的 范围 。 在 、 仓库 、 店 铺 等 各 种 REF 环 境 中 均 能 够 灵活 
组 网 配置 。 有 自治 型 和 集中 管理 型 两 种 可 以 选择 


型 号 照片 说 明 

1300 

单 频 IEEE 802.11a/b/g 室 外 接 入 点 /网 桥 产 品 。 最 适 于 室外 

外 而 空间 、 校 园 内 网 络 连接 以 及 移动 网 络 的 i 。 有 
型 治 型 和 集中 管理 型 两 种 可 以 选择 

AP) 


第 7 章 ”网 络 硬 件 设 备 的 选 购 要 点 


本 章 将 介 台 


召 用 户 在 购买 、 制 定 需求 、 


选 定 网 络 设备 时 ， 考 量 设备 性 能 的 方法 。 


另外 ， 本 章 还 将 介绍 产品 性 能 说 明 


选择 产品 的 方法 以 及 产品 售后 支持 等 


07.01 选择 产品 的 类 别 


选择 产品 类 另 
路 由 器 ， 是 否 需 


要 如 何 配置 。 
产品 类 别 


| (参考 01.04.02 节 ) 


时 需要 考虑 以 下 因素 : 是 否 需要 


的 阅读 方法 、 产 品 调试 方法 、 从 性 能 和 价格 两 方 下 


内 容 。 


。 路 由 器 
。 工 2 交换 机 


L3 交 换 机 


防火 墙 


| 


。 无 线 LAN 接 入 点 


负载 均衡 器 (负载 均衡 装置 ) 


要 核心 交换 机 ， 是 否 需要 负责 安全 控制 的 防火 墙 ， 以 及 上 述 设 


要 进行 路 由 选择 的 


备 在 


FE 网络 


! 将 


汇聚 /核心 交换 机 


互联 网 < 、 

图 7-1 普通 校园 网 络 的 组 成 

在 新 建 LAN 时 ， 根 据 图 7-1 中 组 成 普通 校园 网 络 的 产品 类 别 去 选择 对 应 的 产品 即 可 。 

当 现 存 网 络 中 需要 替换 某 些 网 络 硬件 时 ， 大 致 上 也 会 选择 相同 类 别 的 产品 。 不 过 如 果 性 能 允 
许 ， 使 用 L3 交换 机 或 者 防火 墙 来 蔡 换 路 器 也 是 可 以 的 。 另 外 ， 使 用 13 交换 机 替换 工 2 交 
换 机 也 不 会 带 来 什么 问题 。 

在 涉及 安全 设备 时 ， 由 于 某 些 防火 墙 产 品 搭载 了 基于 内 容 的 安全 控制 功能 ， 因 此 可 以 考虑 统 
Oe 、IDS/PS 设备 等 ， 从 而 达到 降低 成 


07.02 ”基于 功能 需求 汇总 备 选 设备 型 号 


选 定 了 产品 类 别 后 ,六 


号 要 根据 所 需 的 功能 需求 ， 在 该 类 别 内 检索 出 符合 要 求 的 


号 ， 一 般 需 要 考虑 下 面 这 些 要 点 来 进行 这 一 步骤 。 
网 络 接口 与 网 络 接口 速率 
。WAN 侧 和 LAN 侧 物 理 网 络 接口 的 数目 是 否 符合 需求 。 像 RJ-45 的 10/100/1000BASE-T 
或 SFP 的 1000BASE-SX 这 类 ， 网 络 接口 形状 和 物理 层 协 议 是 否 符合 要 求 。 
人 芝 拟 路 由 器 时 ， 需 要 子 网 络 接口 《逻辑 网 络 接口 ) 的 数量 是 否 符合 需 
。 当 需 要 使 用 IEEE 802.1ad 等 汇聚 接口 时 ， 汇 聚 后 能 否 保障 足够 的 网 络 带宽 。 
性 能 
。 否 吐 率 (传输 速率 ) 是 否 足够 。 
。 使 用 ASIC 或 FPGA 等 硬件 处 理 的 功能 范围 和 使 用 CPU 等 软件 处 理 的 功能 范围 是 多 
少 ， 根据 这 些 信 息 处 理 哪些 通信 流量 能 够 得 到 高 性 能 ， 处 理 哪些 通信 流量 很 难得 到 高 性 
能 
。 在 进行 内 容 扫描 时 ， 能 够 被 扫描 多 大 容量 的 文件 。 
。 如 果 想 要 同时 运行 多 个 功能 ， 设 备 的 CPU 使 用 率 以 及 内 存 占用 率 是 否 有 和 鳃 余 


软件 的 功能 
。 文 持 名 下 


协议 的 情况 , 


有 哪些 独立 的 功能 


。 报告 功能 。 


迁移 的 便捷 性 


。 替换 设备 时 ， 


售后 支持 


。 产品 是 能 够 现场 维 # 


用 和 现 有 设 


。 文 持 受理 的 时 间 。 


07.03 ”网 络 硬件 的 采购 流程 


在 采购 包括 网 络 硬件 设 


相同 厂商 六 


07.03.01 RFI 与 RFP 


RFI (Request for Information， 信 |) 
托 时 为 了 明确 需求 ， 从 外 部 业务 供应 
斗 。RFI 提供 了 编写 RFP 


湛 


企业 在 采购 最 新 的 


普通 的 公开 信息 


对 象 ， 请 求 他 


RFI 是 在 交涉 具体 上 
户 企业 会 向 候补 供应 商 提供 


往往 很 难 做 
门 提供 选 定 产 品 


提案 、 寺 


各 


网 络 硬件 时 ， 用 
选择 


在 内 的 信 


户 还 是 需要 寄 回 原 ) 


oO 


上 电 提 供 请 求 


息 系统 产品 时 ， 


F 运 行 相同 操作 系统 的 设备 更 容易 迁移 。 


灵活 使 用 RFI 以 及 RFP 将 大 有 神 益 。 


a 


它 o 


应 商 获 取信 
Requests for Proposal, 
户 企 业 的 负责 人 仅 根 据 产 品目 录 、 
也 就 会 联系 销 


这 时 


bb) 是 指 企业 或 机 构 右 


昌 的 做 法 ， 也 可 以 指 记 


进行 产品 采购 或 业务 委 


载 了 这 些 信息 的 文档 资 


征求 建议 3) 的 基础 信息 。 例 如 ， 某 用 


， 户 
言 讲 会 、 互 联网 资料 等 


详细 的 方案 建议 书 
选择 哪个 供应 商 的 产品 


L 
下 


下 人 


品 时 需要 的 信 ， 


民 价 之 前 进行 日 
RFP。RFP 中 记载 了 具体 的 需求 信息 ， 供 ) 
递交 给 用 户 企 业 。 用 户 企业 对 该 方案 建议 书 进 行 探 讨 研究 后 ， 最 终 决定 


图 7-2) 


9 


0° 
DA 


售 公 司 或 者 系统 集成 厂商 等 潜在 采购 


和 。 当 收 到 多 个 供应 商 提供 的 RFI 时 ， 采 购 方 的 用 


根据 RFP 采 购 


策划 、 加 
预算 过 程 硕 
1 
1 


图 7-2 RFI 实施 的 流程 


编写 RFP、 


提议 


评价 建议 方案 、 


选择 IT 供应 商 


应 商 将 根据 RFP 编写 


表 7-1 展示 了 IT 协调 委员 会 (http:/www.itc.orjp/index.html ) 制作 的 RFP 样 书 (并 非 所 有 
RFP 都 要 按照 此 样 书 的 项 目 和 内 容 编写 ) 。 
表 7-1 RFP 中 的 项 目 范例 
系统 | 系统 架设 的 背景 、 系 统 架构 的 目的 和 方针 、 想 解决 的 问题 、 目 标 预 期 的 效果 、 同 现 有 系统 的 关联 、 
概况 | 公司 和 组 织 的 架构 、 新 系统 的 用 户 、 预 代 
2 .方案 | 方案 建议 书 的 操作 手续 和 日 程 表 、 方 案 建议 书 的 接口 人 、 方 案 的 相关 资料 、 参 与 的 资格 条 件 、 选 定 
建议 | 方案 书 的 方法 


手续 

eh 是 供 方案 的 公司 信息 、 方 案 的 范围 、 采 购 的 内 容 和 提供 服务 的 业务 详细 信息 、 系统 的 组 成 、 产 品 的 
质量 和 站 到 人 能 的 前 提 条 件 全 的 前 提 条 件 、 交付 日 期 以 及 日 程 表 、 交付 条 件 、 澡 规 报 告 以 及 共 
起 集 | 同 评审 内 容 入 注 的 机 制 、 开 发 管理 、 开 发 方法 、 开发 震 言 、 迁 移 方法 、 培 训 内 容 、 维 护 条 
| 件 、 采购 的 环保 依 况 ”费用 预 信众 他 

4. 开 发 

发 时 间 、 开 发 地 点 、 开 发 使 用 的 计算 机 硬件 和 材料 的 情况 、 借 用 物品 及 其 资料 

件 

5. 保 修 | 系统 质量 保修 的 标准 、 安 全 性 


本 订单 形式 、 签 收 、 付 费 条 件 、 保 修 年 限 〈 无 缺陷 的 责任 担保 时 间 ) 、 保 密 事 项 、 知 识 产 权 、 其 他 
i 需求 功能 清单 、DFD (Data Flow Diagram， 数 据 流 图 ) 、 信 息 模 型 、 当 前 的 文档 卷 、 当 前 的 文档 布 
局 


表 7-2 ”网络 产 品 采购 的 RFP 范例 
采购 的 背景 和 目的 
规格 与 编写 投标 规格 说 明 书 的 注意 事项 
系统 需求 规格 
系统 需求 条 件 (共同 规格 、 通 信 协 议 、 网 络 组 成 、 系 统 
多 采购 产品 需要 达到 的 技术 条 件 
实施 需求 规格 
全 网 络 设计 
多 网 络 架构 
网 络 硬 件 的 配置 
交付 条 件 (交付 期 限 、 交 付 场地 ) 
e 维护 
表 7-2 展示 了 网 络 产品 采购 相关 的 RFP 内 容 范 例 。 在 “采购 产品 需要 达到 的 技术 条 件 ” 中 记载 
了 采购 网 络 设备 应 该 上 的 功能 、 性 能 等 内 容 ， 有 时 也 指定 了 产品 的 类 型 编号 。 更 加 详细 的 
规格 需求 说 明 书 范例 如 表 7-3 所 示 。 
表 7-3 网络 设 备 的 规格 需求 说 明 书 范例 1 


| :vccI 是 日 本 的 电磁 兼容 认证 标志 ， 本 电磁 干扰 控制 委员 会 (Voluntary Control Council for Interference by Information 
Technology Equipment) 管理 。 一 一 译 者 注 


. 


pe 内 容 


e 符合 电气 产品 安全 法 、 电 气 产品 安全 实施 法 、 电 气 产品 安全 实施 法 细则 和 满足 制定 电气 产品 技术 
条 件 “| 标准 的 各 部 委 相关 规定 
人 e 保证 产品 不 会 因 突 发 电流 冲击 对 其 他 网 络 产品 带 来 影响 


条 件 

电磁 

2 e 需要 达到 电磁 波 妨 碍 自主 控制 规定 VCCI Class A 级 ? 的 标准 
本 


行 |。 周围 温度 在 10°C~35%C 之 间 时 设备 不 会 发 生 异 常 行为 
环境 |。 湿度 在 20%~802% 范 围 内 时 设备 不 会 发 生 异 常 行为 
。 同 带 电 物品 接触 时 不 会 用 放电 现象 导致 设备 发 生 异 常 行为 


e 产品 构造 便于 维护 检查 以 及 操作 
外 观 ”|。 产品 机 框 结构 能 够 抵抗 外 部 压力 且 不 易 破损 
e 可 以 安装 在 19 英 寸 通用 机 架 上 


可 靠 
性 条 |e。MTBF 3 在 50000 小 时 以 上 
e 电源 电压 为 AC 单 相 100~110V 或 200~220V 之 间 〈 交 流 电 频 率 为 50Hz 或 60Hz) 范围 内 时 设备 不 会 发 
电气 | 生 有 异常 行为 
条 件 |。 电源 插座 能 够 配备 平行 2P 接 地 线 
e 消耗 电能 (标准 配置 下 ) 在 350W 以 下 
硬件 ”|e 机 框 配 有 4 个 端口 以 上 的 10BASE-T/1000BASE-TX 自 动 识别 网 络 接 


条 件 |。 VPN 性 能 在 500Mbivs 以 上 


软件 |je 配 有 主 备 方式 (Active/Standby) 或 双 活 方式 (Active/Active) 的 见 余 结构 
功能 |e 配 有 VLAN 功 能 
条 件 je。 支持 VLAN 的 AES 加 密 
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息 日 是 指 周 六 、 周 日 、 东 假日 〈 国 家 的 法 定 节 假 
稀 ) 4 。 另 外， 产品 咨询 接待 时 间 也 如 上 所 示 
条 件 |。 在 全 国 各 个 都 道 府 县 5 均 设 有 维护 机 构 ， es ade 


软件 |。 维护 受 理 时 间 同 硬件 维护 受理 时 间 相 同 。 维 护 方式 包括 电话 、FAX、 电 子 邮件 等 ， 对 软件 相关 的 问 
维护 题 与 咨询 进行 全 面 的 支持 
条 件 |。 当 被 要 求 刘 出 紧急 广 来 应 对 操作 系统 的 bug 时 ， 能 够 迅速 提供 方案 。 应 急 方 案 的 形式 包括 (1) 
提供 软件 补丁 、 (2) 提示 回避 软件 bug 引发 的 异常 操作 的 措施 


e 符合 “合理 使 Ee (节省 能 源 法 规 ) ”的 产品 也 同样 符合 汽车、 家电 、OA 硬件 相关 判 
环境 “| 定 标准 (市 省 能 源 标准 ) 
要 求 ”|。 不 含有 附件 中 说 明 的 规定 以 外 的 违禁 物质 。 如 果 经 调查 发 现 合 有 违禁 物质 ， 需 要 提供 相关 废弃 方 
法 、 能 够 进行 废弃 处 理 的 从 业 公司 信息 等 ， 建 立 携手 促进 环境 保护 的 保障 制度 


上 2 vcci 是 日 本 的 电磁 兼容 认证 标志 ， 本 电磁 干扰 控制 委员 会 (Voluntary Control Council for Interference by Information 
Technology Equipment) 管理 。 谋 者 注 


3 Mean Time Between Failures， 平 均 故 障 间隔 时 间 。 一 一 译 者 注 


4 这 里 的 节假日 指 的 是 日 本 的 情况 。 一 一 译 者 注 


5 日 本 的 行政 单位 ， 相 当 于 


图 


内 的 省 市 、 直 辖 市 、 自 治 区 等 。 译 者 注 


功能 证 明 


为 了 保障 提供 的 产品 能 够 真正 满足 用 户 企业 要 求 的 规格 与 功能 ， 在 根据 RFP 信息 提交 的 方 
案 建 议 书 中 还 可 以 附加 产品 目录 、 操 作 手 册 等 产品 相关 的 公开 文档 给 用 户 企业 。 如 果 无 法 提 
共 这 些 文档 ， 生 产 厂商 或 销售 公司 也 可 以 编写 并 提交 产品 的 功能 证 明 书 这 一 类 文件 资料 给 用 


07.03.02 RFQ 
和 户 企业 通过 RFI 以 及 RFP 接受 如 果 需 要 进行 涉及 预 


费用 的 报价 步骤 ， 则 可 以 要 求 供应 商 提 供 详细 的 RFQ 〈 Request For Quotations， 报 价 请 求 
说 明 书 ) 文档 。 


07.04 ”根据 性 能 选择 产品 的 型 号 


07.04.01 ”收集 同 网 络 延迟 相关 的 信息 


路 由 器 之 类 的 网 络 硬件 一 般 都 会 有 转发 分 组 的 操作 ， 分 组 离开 发 送 地 向 地 理 位 置 分 离 的 目的 
地 传输 的 过 程 中 ， 总 会 有 延迟 (delay) 产生 。 


在 网 络 中 传输 声音 以 及 影像 等 实时 通信 流量 时 ， 需 要 收集 各 个 路 由 器 之 间 同 延迟 有 关 的 参数 
守 息 ， 必 须 将 减少 端 到 端 (end to end) 的 网 络 延迟 作为 整个 网 络 设计 的 重要 目标 。 


ITU-T 推荐 的 G.114 定义 了 从 发 送 源 至 发 送 目的 地 单 向 发 生 的 网 络 延迟 信息 ， 并 将 延迟 分 成 
个 类 别 ， 具 体 如 表 7-4 所 示 。 


表 7-4 ”延迟 的 定义 ( 单 向 延迟 ) 


延迟 的 数值 说 明 


150 毫 秒 以 内 几乎 所 有 的 用 户 应 用 程序 都 能 使 


150~400 毫 秒 对 于 传输 时 间 以 及 传输 质量 要 求 不 高 的 用 户 应 用 程序 能 够 使 


400 毫 秒 以 上 一 般 网 络 设计 不 允许 存在 该 延迟 


延迟 的 分 类 如 表 7-5 所 示 。 
表 7-5 ”延迟 的 种 类 


延迟 的 种 类 说 明 


me 分 组 从 发 送 源 转 发 后 ， 到 达 目 的 地 所 需要 的 时 间 。 分 组 在 路 途中 经 过 的 网 络 硬件 数量 越 多 该 值 
end-to-end 就 越 大 


delay) 


延迟 的 种 类 说 明 
从 分 组 进入 设备 流入 接口 后 ， 到 进入 流出 接 :I 一 般 只 有 几 微 秒 左右 
分 组 交换 机 或 路 由 
ee L_ _ 
(processing 
delay) 
流入 接口 流出 接口 
处 理 延 迟 
从 进入 路 由 器 或 交换 机 的 流入 接口 到 进入 流出 接口 队列 之 间 的 时 间 
分 组 化 延迟 
(packetization | 数据 在 进行 编码 、 压 缩 ， 填 入 有 效 载 苟 等 操作 需要 的 时 间 ， 一 般 在 几 十 毫秒 左右 
delay) 
分 组 在 流出 接口 的 队列 中 停留 的 时 间 。 进 行 QoS 控制 时 ， 优 先 级 越 低 的 分 组 在 队列 中 停留 的 时 
间 越 长 即 延迟 越 大 ， 人 
队列 延迟 流入 接 口 
(queuing 
delay) 
队列 延迟 
分 组 进入 后 在 队列 中 停留 的 时 间 
QoS 优先 级 控制 = 队列 中 的 延迟 控制 
分 组 在 接口 进行 发 送 时 ， 进 行 电气 、 光 、 电 磁 波 等 物理 信号 转换 时 需要 花费 的 时 间 ， 具 体 数值 
可 以 通过 “分 组 尺寸 = 带宽 ”的 公式 计算 得 到 。 速 率 越 高 的 网 络 接 行 化 延迟 时 间 就 越 低 。64 
字 节 的 分 组 使 用 64kbits 带 宽 进 行 传输 时 ， 溃 行 化 过 程 所 震 时 间 为 8 和 
流出 接口 
串 行 化 延迟 、 
(serialization 流入 接 口 
delay) 
串 行 化 延迟 
分 组 进行 物理 信号 变换 所 花费 的 时 间 
分 组 尺寸 /带宽 | 
物理 信号 通过 线 缆 或 无 线 电波 等 传输 媒介 到 达 下 一 个 设备 所 花费 的 时 间 ， 依 赖 于 介质 的 传输 速 
证 最 km 扣 中 放 寺 要 5 亿 各 左右 的 时 间 
传播 延迟 
(propagation 
delay) 


传输 延迟 
物理 信号 传输 所 花费 的 时 间 约 6 hs/km 


延迟 的 种 类 说 明 


网 络 延 迟 。 | 途径 WAN 以 及 互联 网 进行 通信 时 ， 分 组 通过 这 些 网 络 需要 的 时 间 。 根 据 电气 通信 管理 办 法 ， 


etwork | 于 Pp 电话 的 网 络 一 般 平均 延迟 时 间 需 在 70 毫 秒 以 下 
elay) 


去 抖动 延迟 
(de-jitter 使 用 缓存 去 除 抖动 需要 的 时 间 ， 一 般 在 几 十 毫秒 之 间 
delay) 


时 延 


网 络 硬件 从 接收 数据 后 到 再 次 发 送 数据 之 间 所 花费 的 延迟 时 间 称 为 时 延 (latency) 。 时 延 越 
小 说 高 束 处 理 人 分 组 的 能 力 就 越 强 。 时 延 大 致 上 相当 于 "处 理 延迟 + 队列 延迟 + 串 行 化 
延迟 "的 时 间 。 


“吞吐 率 测试 的 结构 ” (参考 07.04.02 节 的 图 7-3) 中 ， 从 测试 仪器 输出 的 分 组 经 过 路 由 器 
(DUT6 ) 后 了 度 返回 测试 仪器 所 花费 的 时 间 ， 也 被 测试 仪器 定义 为 时 延 。 最 新 的 网 络 设备 
产品 该 数值 一 般 在 几 微 秒 左右 


| 6 Device Under Test， 被 测 仪器 。 一 一 译 者 注 


可 以 收发 的 最 大 数据 帧 数 能 够 在 几 微 秒 的 处 理 延 迟 时 间 内 全 部 转发 出 去 ， 该 项 特性 指标 称 为 
实现 线 速 率 或 对 应 线 速 ， 体 现 了 物理 线路 传输 数据 外 多 够 达到 的 最 高 速度 。 具 体 以 快速 以 太 网 
为 例 ， 快 速 以 太 网 线束 为 在 1 es 148810 个 大 小 为 64 字 节 的 数据 帧 (参考 
07.04.03 小 节 中 的 “交换 能 


抖动 


以 一 定时 间 间 隅 进行 分 组 发 送 时 ， 该 时 间 间 隅 在 实际 传输 途中 变 长 或 变 短 的 现象 称 为 jitter 

或 拌 动 。 例 如 ， 从 发 送 源 每 隔 5 毫秒 发 送 分 组 ， 接 收 方 接收 到 4 分 组 的 实际 时 间 间 隔 却 是 4、 
3、6、5、7 毫秒 这 样 不 停 变化 的 结果 。VolP 以 及 流 媒 体 应 用 程序 能 够 通过 反 拌 动 缓存 (de- 
jitter buffer) 来 吸收 部 分 拌 动 ， 但 如 果 拌 动 过 大 就 会 导致 声音 、 画 面 突 然 中 断 的 后 果 。 在 举 
行 实 时 双方 向 流 媒 体 视频 会 议 时 ， 一 般 推 荐 延迟 在 150 毫秒 以 内 ， 拌 动 在 35 这 秒 以 内 的 网 
络 环境 。 与 之 相 比 ， 进 行 单 向 视频 流 媒 体 由 于 应 用 程序 接收 缓存 能 够 处 理 部 分 延迟 和 拌 动 ， 
寻 此 能 够 允许 双向 10 倍 以 上 的 网 络 延 迟 时 间 。 


根据 电气 通信 相关 法 律 法 规 ，IP 电话 网 络 产 生 的 拌 动 (ITU-T Y.154 建议 书 中 提 及 的 分 组 传 
输 平均 延迟 时 间 中 的 拌 动 值 ， 必 须 在 20 毫秒 以 下 。 


分 组 丢失 
Re ed 的 的 现象 称 为 分 组 丢失 ， 也 可 称 为 分 组 损失 (packet 
loss) 或 分 组 丢弃 (packet drop) 。 分 组 丢失 通过 分 组 丢弃 率 的 百分比 来 表示 。 根 据 电气 通 
信 相 关 法 律 法 规 ，IP 电话 网 络 的 分 组 丢弃 率 须 在 0.1% 以 下 。 

往返 时 间 

发 送 源 发 送 的 分 组 到 达 发 送 目的 地 后 ， 目 的 地 生成 应 答 分 组 返 送 给 发 送 源 ， 直 到 发 送 源 接收 
到 攻 答 分 组 的 这 个 过 程 需要 的 时 间 称 入 返 时 间 (RTT，Round Trip Time) 。 人 往返 时 间 可 以 
通过 ping 命令 发 送 ICMP Echo 消息 ， 再 收 到 ICMP Echo Reply 消息 的 方式 来 检测 ( 单 
立 为 毫秒 ) 


表 7-6 根据 通信 距离 不 同 需 要 往返 时 间 的 差异 


通信 距离 往返 时 间 
LAN 内 〈 几 百 米 左右 ) 1 毫秒 ~2 毫 秒 左右 
广 域 以 太 网 VPN (日 本 国内 ) 5~20 毫 秒 左 右 
东京 至 冲绳 的 WAN 50~100 毫 秒 左右 
东京 至 美国 的 互联 网 通信 200~300 毫 秒 
通过 移动 电话 网 络 接 入 互联 网 100~300 毫 秒 


如 果 互 联网 发 生 延 迟 过 长 的 问题 ， 则 需要 通过 QoS 装置 或 路 由 器 的 QoS 功能 对 分 组 扔 发 进 
行 优先 级 控制 ， 保 障 对 实时 性 要 求 高 的 应 用 程序 通信 和 量 优先 转发 ， 尽 可 能 减少 队列 延迟 。 另 
外 ，Riverbed Technology 公司 销售 的 WAN 优化 法 时 也 能 移 调 整风 给 ; l 信 流量 ， 减 少 应 用 程 
序 的 延迟 时 间 。 


07.04.02 ”网 络 设备 产品 性 能 的 测量 方法 
网 络 设备 产品 的 性 能 可 以 通过 通信 流量 测试 负载 生成 器 (traffic generator) 进行 统计 测量 。 


这 类 产品 中 比较 有 名 的 有 ,Spirent 公 公司 7 的 SmartBits、IXIA 公司 的 IxXNetwork 以 及 安立 公司 
(Anritsu) 的 MD1230B 等 (参考 表 7-8) 。 


家 ， 


| 7 该 公司 于 2012 年 8 月 被 IXIA 公 司 收购 。 一 一 译 者 注 


产品 目录 中 会 标 有 bits 以 及 pps 等 指标 单位 数值 ， 有 时 还 会 说 明 厂 商 是 在 什么 样 的 测试 环境 
下 进行 计算 并 得 到 该 数值 的 。 当 在 产 | 品目 录 中 标明 了 bits 数值 时 ， 需 要 特别 注意 该 数值 是 
的 卫 分 组 计算 得 出 的 。 
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r 

+ 

由 


单方 向 吞吐 率 的 测试 


输入 输出 
路 由 器 
(DUT ) 

发 送 接收 
二 一 一 < 一 
测试 仪器 
Tx Rx 


接收 发 送 
7-3 ”天 吐 率 测 试 的 结构 
。 测 试 仪器 在 发 送 端 


测试 结构 如 图 7-3 所 示 。 测 试 对 象 装置 称 为 DUT (Device Under Test) 

口 (Tx，Transmit 发 送 ) 逐步 增加 发 送 至 路 由 器 的 分 组 数量 ， 然 后 在 接收 端口 (Rx， 
Receive 接收 ) 测定 DUT 返回 的 分 组 数量 。 当 到 达 DUT 的 性 能 极限 时 ，DUT 上 就 会 发 生 分 
组 丢失 的 现象 ， 相 对 于 测试 仪器 发 送 的 分 组 数量 接收 到 的 分 组 数 就 会 减少 。 


描述 DUT 不 发 生 分 组 丢失 而 持续 活跃 的 传输 能 力 指标 称 为 NDR (non-drop rate) ， 在 产品 
录 中 一 般 记 为 “最 大 传输 能 力 ” 或 “最 大 吞吐 率 ”( 图 7-4) 。 


理想 特性 


测试 结果 
输 
出 


NDR 


输入 


图 7-4 NDR (non-drop rate) 


RFC2544 中 定义 了 网 络 硬 件 吞 叶 率 的 测试 方法 ， 并 推荐 了 各 个 数据 链 路 层 协议 测试 时 使 用 
的 数据 帧 尺寸 。 例 如 在 以 太 网 环境 中 ， 推 荐 使 用 64、128、256、512、1024、1280、 


节 大 小 的 数据 帧 进行 测试 。 


1518 字 


测试 路 由 器 时 ， 测 试 仪器 经 常 使 用 能 够 模拟 互联 网 实际 通信 流量 、 被 称 为 IMIX (Internet 


Mix) 的 各 类 尺寸 分 组 组 合 来 进行 测试 。 表 7-7 列举 了 IMIX 的 范例 。 
表 7-7 IMIX 的 范例 


例 1 例 2 
58.3396 的 64 字 节 数据 由 57% 的 64 字 节 数据 帕 
2 meh, 
83396 的 1518 字 节 雪 据 央 20% 的 1518 字 节 数据 由 
字 节 数据 帧 


如 果 路 由 器 产品 在 其 产品 的 规格 说 明 书 中 告知 了 使 用 IMIX 测 出 的 NDR 值 ， 那 么 该 路 


在 实际 网 络 中 运行 的 性 能 一 般 也 会 与 该 值 保 持 相 近 的 高 度 。 
使 用 通信 流量 负载 测试 装置 进行 测试 


A 


分 组 负载 测试 器 (packet generator) 或 者 网 络 模拟 器 (network emulator) 。 


在 这 些 产品 中 ，Spirent 公司 的 Avalanche/Reflector、Smartbit、IXIA 公司 的 


来 测试 网 络 硬 件 性 能 的 装置 一 般 可 以 称 为 通信 流量 测试 负载 生成 器 (traffic generator) 、 


IxLoad/IxNetwork、Empirix 公司 的 PacketSphere、BreakingPoint 公司 8 的 FireStorm 以 及 


Anritsu 公司 的 MD1230 等 较为 著名 ( 表 7-8) 。 


8 该 公司 于 2012 年 8 月 被 IXIA 公 司 


A 


1 台 通 信 流 量 测试 负载 生成 器 通过 生成 L2 至 L7 的 各 种 分 


昌 ， 能 够 模拟 百 万 台 客户 端 连 接 的 


网 络 环 境 。 通 过 该 测试 仪器 的 测试 能 够 明确 网 络 硬 中 的 最 大 守 吐 率 、 最 大 在 线 会 话 


性 能 指标 数据 。 


6 数 等 各 项 


表 7-8 主要 的 通信 流量 测试 负载 生成 器 产品 


产品 名 称 (制造 
商 ) 照片 


Avalanche 
C100GT 
(Spirent) 


IxLoad (IXIA) 


MD1230B 
(Anritsu) 


| 
| in 


| Er ha 
这 mm a Ne 


IxN2X 
(IXIA) 


产品 名 称 (制造 
商 ) 


照片 


能 够 模 


1 

ireStorm 地 2 能 

0 和 
及 UTN 

规格 说 明 书 中 的 吞吐 率 与 实际 的 吞吐 率 

段 设 茶 位 IT 人 负责 人 遇 到 了 这 样 的 需求 :“ 于 网 关 处 设置 的 路 由 器 停止 了 工作 ， 因 此 需要 使 

当前 新 产品 来 替换 ， 当 前 公司 的 网 络 通信 流量 的 为 500Mbit/s， 因 此 希望 采购 一 台 吞 吐 率 

司 样 为 500Mbits 的 路 由 器 。” 

这 时 ， 这 位 开 负责 人 该 如 何 去 选 择 吞 吐 率 为 500Mbits 的 路 由 器 呢 ? 

从 互联 网 上 获取 的 通信 设备 目录 或 性 能 数据 清单 中 ， 都 会 通过 “最 大 吞吐 率 (Mbit/s) ”的 指 

标 来 表示 产品 的 最 大 通信 速率 ， 那 是 否 选择 了 该 值 为 500Mbits 的 产品 就 足够 了 呢 ? 

所 谓 的 最 大 吞吐 率 ， 一 般 是 指 和 连续 处 理 长 度 为 最 大 长 度 1518 字 节 的 以 太 网 数据 帧 时 的 吞吐 

率 。 在 1518 字 节 中 去 掉 18 个 字 节 的 帧 首部 。 剩 下 的 1500 字 节 为 IP 分 组 。 随 后 ， 再 次 去 掉 

20 个 字 节 的 了 首部 ， 剩 下 的 1480 字 节 为 IP 数据 有 效 载荷 ， 最 终 处 理 的 便 是 这 1480 字 节 。 

路 由 器 处 理 一 般 不 以 字 节 为 单位 ， 而 是 以 分 组 《数据 帧 ) 为 单位 进行 转发 处 理 。 因 此 ， 路 由 

器 1 秒 内 能 够 处 理 多 少 个 分 组 的 指标 pps 的 最 大 值 加 上 1518 个 字 节 数 所 得 到 的 数值 就 表示 

了 路 由 器 的 最 大 吞吐 率 。 

对 于 措 载 安全 功能 等 进行 传输 层 以 上 数据 解析 的 通信 设备 而 言 ， 其 产品 的 性 能 会 根据 他 数 

据 有 效 载荷 内 容 的 不 同 而 发 生变 化 。 这 时 ， 同 使 用 TCP 相 比 ， 使 用 UDP 这 类 首部 简单 的 分 

组 进行 测试 能 够 得 到 更 好 的 吞吐 率 数值 。 


07.04.03 ”交换 机 性 能 的 考量 方法 


由 于 工 2 交换 机 以 及 L3 交换 机 的 数据 帧 传输 一 般 通 过 ASIC 来 完成 ， 因 此 产品 目录 中 记载 的 
交换 容量 与 交换 能 力 可 以 认为 是 该 设备 实际 的 性 能 指标 。 

需要 注意 的 是 ， 由 于 现在 的 交换 机 一 般 都 支持 全 双 工 通信 ， 因 此 在 使 用 CSMA/CD 半 双 工 通 
信 时 ， 会 发 生 冲 突 导 致 性 能 同 全 双 工 相 比 会 有 一 定 的 下 降 。 

交换 容量 

0 00 6550 
考 本 书 第 二 

当 高 于 交换 容量 的 通信 流量 到 达 交 换 机 时 ， 交 换 机 就 会 由 于 缓存 不 足 或 内 部 带宽 (交换 总 线 
带宽 ) 不 够 而 无 法 处 理 ， 进 而 导致 数据 帧 丢失 、 网 络 接口 停止 以 及 废弃 帧 数 上 升 等 现象 。 
交换 能 力 

除了 用 bits 表示 的 交换 机 容量 以 外 ， 单 位 时 间 内 能 够 处 理 的 数据 帧 数目 pps (分 组 每 
秒 ) 也 能 用 来 表示 交换 机 的 交换 能 力 。 该 项 指标 也 可 称 为 最 大 分 组 转发 能 ， 由 于 在 工 2 转 
发 的 数据 单位 为 数据 帧 ， 因 此 又 称 为 数据 帧 转发 能 力 。 


交换 机 通过 查看 以 网 数 ] 据 帧 首部 的 信息 ， 事 先 确认 转发 目的 地 的 MAC 地 址 ， 并 校 验 数据 

由 尾部 是 否 有 异常 ， 最 后 查阅 访问 控制 列表 是 否 预 配 信息 ， 如 果 有 预 配 信息 由 根据 该 信息 对 

数据 帧 进行 过 滤 处 理 。 可 见 ， 随 着 数据 帧 数目 的 增加 ， 交换 机 需 要 处 理 的 数据 量 也 会 随 之 增 

大 ， 路 由 器 也 同样 如 此 。 

所 以 ， 如 果 处 理 通信 流量 的 bits 相同 ， 数 据 帧 尺寸 越 小 处 理 的 工作 量 就 越 大 ， 系 统 负载 也 

会 随 之 变 大 。 

闵 太 网 数据 帧 最 小 的 数据 帧 尺寸 是 64 字 节 ， 算 上 先导 域 和 SFD (Start Frame Delimiter， 帧 
定 界 符 ) 的 8 字 节 ， 数 据 帧 之 间 的 IFG (Inter-Frame Gap， 数 据 帧 间隔 ) 所 需 的 12 字 节 ， 

总 共 84 字 节 ， 也 就 是 说 交换 机 在 转发 1 个 数据 帧 时 需要 处 理 672 bit 的 数据 。 

对 于 10Mbit/s 的 以 太 网 而 言 ， 则 是 10000000bits*672bit=14880pps。 如 果 交 换 机 拥有 

14880pps 以 上 的 交换 能 力 ， 就 意味 着 该 交换 机 可 以 实现 线 速率 (理论 上 的 最 大 线路 速度 ， 

也 称 为 线 速 ) 处 理 。 

快速 以 太 网 的 线 速 一 般 为 148800pps， 于 焰 以 太 网 的 线 速 为 1488000pps 〈1.488Mbitys) ,万 

兆 以 太 网 线 的 速 为 1488000pps (14.88Mbit/s) 。 

交换 机 是 由 多 个 物理 网 络 接口 组 成 的 。 假 如 一 台 交 换 机 有 24 个 10/100/1000BASE-T 的 端 

口 ， 那 么 能 够 拥有 24x1.488Mbit/s=35.712Mpps 的 非 阻塞 交换 能 力 。 如 果 使 用 交换 容量 小 于 

该 值 的 交换 机 ， 就 会 发 生 阻塞 现象 ， 导 致 所 有 的 端口 无 法 达到 理论 的 最 大 线 速 。 

实际 在 交换 机 上 进行 传输 的 通信 和 多 为 TCP 或 UDP 的 应 用 程序 数据 。 在 UDP 中 ， 对 实时 性 

要 求 较 高 的 分 组 - 般 平 均 长 度 需 在 100~300 字 节 之 间 才 能 进行 通信 。 而 在 TCP 中 ， 由 于 需 

要 进行 窗口 尺寸 等 带宽 控制 ， 因 此 实际 的 通信 速率 往往 达 不 到 理论 线束 水平 。 

MAC 表 数 量 与 L3 表 尺 寸 

L2 交换 机 使 用 MAC 表 管 理 MAC 地 址 ，L3 交换 机 除了 使 用 MAC 表 来 管理 MAC 地 址 以 外 

还 会 使 用 L3 表 来 管理 IP 地 址 。 

J 了 管理 表 最 多 能 容纳 的 数量 ， 那 么 设备 将 无 法 进行 正常 的 传输 处 理 从 而 造成 分 

组 丢弃 的 结果 。 

在 使 用 通信 流量 生成 测试 仪器 对 设备 性 能 进行 测试 时 ， 必 须 将 所 施加 分 组 所 使 用 的 地 址 限定 

在 设备 的 MAC 地 址 表 所 支持 的 范围 内 进行 。 

替换 或 新 增 网 络 硬件 时 的 选择 

虽然 大 多 数 机 构 的 内 部 网 络 中 都 会 有 存量 交换 机 ， 但 是 在 进行 更 新 蔡 换 时 ， 仍 需要 确认 存量 

交换 机 性 能 方面 的 统计 信息 以 及 现 有 用 户 的 数量 ， 还 要 确认 MAC 地 址 表 表 项 数量 ， 从 而 选 

择 最 大 交换 容量 、 交 换 能 力 和 MAC 地 址 数量 都 满足 需求 的 交换 机 。 

除了 性 能 以 外 ， 还 需要 了 解 硬件 最 大 支持 的 VLAN 数目 、 是 否 具备 SNMP 等 管理 功能 ， 将 

这 些 作 为 辅助 材料 ， 推 网 络 逻辑 设计 阶段 的 工作 顺利 进行 。 

广播 风暴 

广播 风暴 (broadcast storm) 是 指 时 ，MAC 数据 帧 不 停 来 回 传递 的 现 

> (图 7-5) 。 这 种 现象 会 造成 网 络 带 宽 、 交 换 机 资源 的 过 度 消耗 ， 最 终 导致 整个 网 络 的 瘫 

更 用 生成 树 功能 (参考 02.08.03 节 “ 生 成 树 功能 ”) 可 以 避免 该 问题 。 生 成 树 通过 NDP 端口 

的 开 闭 来 解决 网 络 的 回环 问题 。 

另外 ， 在 遇 到 DoS 攻击 、 操 作 系统 出 现 bug 或 者 NIC 出 现 故 障 导 致 生成 树 无 法 正常 工作 

时 ， 同 样 也 会 产生 广 提 风暴 。 


这 时 ， 可 以 使 用 交换 机 中 的 广播 风暴 控制 (storm-control) 功能 来 避免 该 现象 。 


广播 风暴 控制 功能 的 原理 是 在 端口 监视 流向 内 部 总 线 的 数据 帧 ， 如 果 数 据 帧 的 数量 超过 了 预 
先 设置 的 上 限 阐 值 ， 吏 将 超出 该 网 值 的 部 分 丢弃 。 数据 帧 立 值 通过 pps 值 来 指定 ， 能 够 分 别 
对 单 播 、 多 播 、 广 播 进行 定义 与 配置 


如 果 没 有 回环 状态 ， 广 播 数据 帧 只 会 转发 到 广播 域内 的 所 有 终端 。 相 反 ， 如 果 网 络 存在 
环 ， 广 播 数据 帧 将 会 永远 在 回环 内 循环 转发 ， 导 致 数据 帧 数量 越 来 越 多 ， 最 终 整 个 LAN 的 
带宽 被 广播 数据 帧 消耗 列 尽 。 


广播 数据 帧 


转发 至 所 有 端口 


LN 
vv ess 
~ Ey | YY vo 


转发 至 所 有 端口 转发 至 所 有 端口 
图 7-5 ”发生 广播 风暴 的 LAN 结构 
半 双 工 与 冲突 


如 本 书 第 二 章 所 述 ， 在 半 双 工 通信 中 ， 在 1 根 线 绕 (传输 媒介 ) 上 运行 CSMA/CD 并 进行 载 
波 侦 听 时 ， 有 可 能 会 发 生 冲 突 。 随 着 冲突 域 中 终端 数目 的 增多 ， 冲突 发 生 的 概率 也 就 越 大 ， 
日 呈 指 数 上 升 的 趋势 。 另 外 ， 在 进行 载波 侦 听 时 传输 媒介 处 于 使 用 状态 ， 因 此 还 会 产生 随机 
等 待 时 间 。 由 于 等 待 、 冲 突 而 导致 的 数据 再 次 发 送 ， 会 降低 整个 系统 的 通信 效率 。 即 使 传输 
媒介 没有 处 于 使 用 状态 ， 也 需要 费时 进行 载波 侦 听 的 处 理 ， 从 而 导致 延迟 产生 。 


丸 此 ， 使 用 全 双 工 通信 方式 来 取代 半 双 工 通信 方式 比较 好 。 


全 双 工 通信 中 不 再 使 用 CSMA/CD， 不 进行 载波 侦 听 操作 也 不 发 生 冲 突 ， 而 且 发 送 和 接收 能 
够 充分 利用 传输 媒介 的 最 大 传输 速率 。 比 如 在 快速 以 太 网 中 ， 若 发 送 与 接收 的 速度 各 为 
100Mbit/s, 叫 共 计 能 够 使 用 200Mbit/s 的 线路 带宽 。 而 在 半 双 工 通信 发 里 和 接收 的 上 用 
带宽 总 和 只 有 100Mbit/s 。 


自 适应 


如 果 设 置 了 交换 机 的 自 适 应 功能 ， 那 么 交换 机 的 网 络 接口 会 根据 使 用 的 以 太 网 速度 以 及 双 工 
通信 方式 ， 自 动 选择 同 对 方 交 换 机 交互 的 最 佳 通信 模式 组 。 如果 由 于 交换 机 或 交换 机 以 外 
过 


一 


的 网 络 设备 实现 不 同 或 存在 bug 而 导致 自 适应 功能 无 法 工作 ， 则 交换 机 端口 会 默认 自动 进入 
半 双 工 通信 模式 。 这 时 ， 就 需要 事先 关闭 自 适 应 功能 ， 通 过 手动 置 指定 交换 机 端口 在 全 双 工 
模式 下 工作 来 避免 这 类 问题 。 

07.04.04 ”路 由 器 性 能 的 考量 方法 

路 由 器 性 能 一 般 用 单位 时 间 内 的 转发 能 力 来 表示 ， 也 可 使 用 吞吐 率 (throughput) 来 描述 。 


虽然 通信 速率 的 单位 bitys (比特 每 秒 ) 常 被 用 来 描述 吞吐 率 ， 但 在 路 由 器 进行 以 分 组 为 单位 
的 处 理 时 ， 往 往 也 会 使 用 pps (分 组 每 秒 ) 来 描述 吞吐 率 这 一 性 能 情况 。 


pps 性 能 相同 的 路 由 器 ， 转 发 的 分 组 越 大 ， 该 路 由 器 产品 的 bits 值 就 越 高 。 例 如 ， 处 理 能 力 
为 100pps 的 路 由 器 在 以 太 网 上 处 理 耻 分 组 ， 虽 然 处 理 64 字 节 (512bit) 分 组 时 ， 其 速率 只 


能 为 51.2kbit/s， 但 在 处 理 1500 字 节 (12000bit) 的 分 组 时 ， 其 速率 则 达到 1.2Mbit/s 。 
07.04.05 ”防火墙 性 能 的 考量 方法 

同时 在 线 会 话 数 

防火 墙 使 用 会 话 表 管理 通信 会 话 ， 并 以 会 话 为 单位 进行 通信 流量 的 控制 。 会 话 表 能 够 记录 的 
表 项 数 表明 了 该 防火 墙 所 能 处 理 的 同时 在 线 会 话 也 称 为 同时 连接 会 话 ) 数量 。 

小 规模 的 桌面 型 防火 墙 设备 一 般 能 够 支持 几 万 个 会 话 ， 通 信服 务 供应 商 使 用 的 防火 墙 设备 则 
能 够 同时 管理 数 百 万 个 会 话 。 

会 话 生存 时 间 调 整 

通过 安全 策略 的 UDP 分 组 或 TCP 的 SYN 分 组 到 达 防 火 墙 时 ， 防 火 墙 会 生成 对 应 的 会 话 信 
息 。 如 果 在 此 后 的 一 定时 间 内 ， 该 会 话 没 有 通信 量 的 产生 ， 则 需 将 会 话 删除 ， 该 时 间 段 则 成 
会 话 生 存 时 间 。 

会 话 信息 被 删除 后 ， 当 该 会 话 相关 的 分 组 继续 到 达 防 火 墙 时 ， 防 火 墙 需要 重新 生成 会 话 信 
息 。 如 果 是 UDP 类 型 ， 只 需 再 次 生成 会 话 信 息 即 可 ， 但 如 果 是 TCP 类 型 ， 除 了 再 次 到 来 的 
SYN 分 组 以 外 ， 其 余 的 分 组 都 将 被 丢弃 〈 可 以 通过 更 改 配置 改变 丢弃 分 组 的 行为 ) 。 如 果 
SYN 以 外 的 分 组 遭 到 了 防火 墙 拒绝 ， 就 需要 客户 端的 应 用 程序 进入 重 发 流程 ， 同 服务 器 之 
间 使 用 3 次 握手 重新 建立 TCP 连接 。 

会 话 生 存 时 间 能 够 根据 TCP、 UDP 以 及 其 他 IP 协议 的 不 同 进行 针对 性 的 设 。 在 新 一 代 防 
火 墙 系列 产品 中 还 能 够 以 应 用 程序 为 单位 进行 设 般 将 TCP 的 会 话 生存 时 间 设 置 为 1 
小 时 左右 ，UDP 以 及 其 他 了 协议 的 会 话 生存 时 间 设置 为 30 秒 左右 。 

如 果 没 有 设置 会 话 生存 时 间 (或 者 生存 时 间 过 长 ) ，TCP 中 在 收 到 FIN 或 RST 之 前 ， 连 接 

将 始终 保持 开放 ， 而 UDP 中 会 话 不 会 结束 ， 会 话 信息 也 会 保留 。 这 么 一 来 就 会 使 得 那 

些 磁 巧 和 残留 会 话 信息 相 一 致 的 分 组 能 够 顺利 通过 防火 墙 ， 从 而 造成 潜在 的 安全 问题 。 

必 于 会 话 信息 表 中 会 话 表 项 记录 的 数量 有 限 ， 如 果 很 长 一 段 时 间 不 予以 清除 ， 将 会 使 
表 项 数量 很 快 到 达 会 话 表 能 够 容纳 的 上 限 值 。 

当 会 话 表 项 数量 达到 能 够 记录 的 上 限 值 后 ， 将 无 法 生成 新 建 会 话 ， 从 而 造成 无 法 建立 新 会 话 

进行 通信 的 后 果 。 

老化 时 间 调 整 

在 TCP 会 话 中 如 果 TIME_WAIT 状态 的 时 间 持 续 很 长 ， 就 会 导致 即使 通信 结束 也 会 有 会 话 
祝 息 残留 并 占用 会 话 信 息 表 的 空间 。 

有 些 防火 墙 产品 会 提供 当 会 话 信 息 表 使 用 率 即 将 超过 阔 值 时 ， 提 前 删除 TIME_WAIT 状态 会 

话 的 功能 。 

每 秒 会 话 值 

路 由 器 的 性 能 一 般 使 用 每 秒 能 够 传输 的 bit 数 biys 和 每 秒 能 够 转发 的 分 组 数 pps 这 两 个 单位 

来 描述 。 

而 对 于 防火 墙 而 言 ， 还 必须 增加 每 秒 能 够 建立 的 会 话 数 (new session per second) 这 一 参数 

指标 。 以 基于 状态 检测 型 的 防火 墙 (stateful inspection) 为 例 ， 该 指标 表示 在 1 秒 内 色 
成 多 少 次 会 话 建立 。 其 中 ce A 手 
正常 则 生成 会 话 信息 ， 将 会 话 信息 记录 至 会 话 表 等 一 系列 操作 。 

如 果 该 数值 不 满足 网 络 需 求 ， 就 会 导致 旧 的 会 话 信 息 不 能 被 及 时 删除 ， 从 而 造成 网 络 中 的 新 

会 话 信 息 无 法 建立 的 情况 。 站 在 用 户 角 度 来 看 ， 就 会 觉得 该 网 络 的 响应 速度 非常 低 。 
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VPN 和 加 密 的 性 能 


防火 增 或 安全 设 都 会 文 持 ; 
中 器 的 功能 。 另 外 ， 有 些 产 品 ; 


这 类 执行 加 密 或 解密 的 操作 ， 


负载 也 会 相应 增加 ， 从 而 导 埃 性 能 
表 7-10 VPN 吞吐 率 的 范例 (信息 来 自 产品 目录 ) 


占 的 IPsec-VPN、 远 程 接 入 的 IPsec-VPN 或 SSL-VPN 集 
寺 用 户 通 信 有 的 SSL (HTTPS) 解密 功能 。 


不 的 明 义 通信 或 执行 基 于 内 容 的 条 首相 比 ， 系 统 的 


Juniper Networks SSG140 Palo Alto Networks PA-5020 
防火 墙 知 吐 率 350Mbit/s 5Gbit/s 
VPN 雁 吐 率 100Mbit/s 2Gbit/s 
然 使 用 ASIC 这 类 硬件 芯片 有 


E 则 不 会 带 来 性 能 下 降 的 问题 ， 但 是 几乎 所 有 的 
当 通 信 流 量 增 会 有 


都 采用 了 基于 CPU 的 软件 


兽 大 时 ， 性 能 还 是 会 有 大 幅 的 下 


简 而 言 之 ， 加 密 处 理 仪 仅 是 在 隧道 建 
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对 象 的 容量 


言 有 着 项 外 不 同 的 影响 。 


， 而 是 构成 安全 策略 的 要 素 对 象 。 例 如 ， 


这 里 所 提 到 的 对 象 并 不 是 处 理 对 象 每 秒 
+ 已 二 、 击 


端口 对 象 等 。 根 据 设 备 种 类 的 不 同 ， 这 些 对 象 


身 的 配置 数量 上 限 也 会 由 于 设备 的 种 类 不 


说 明 书 中 标注 。 如 果 该 信息 未 曾 在 规格 说 明 


大 型 公司 在 因特网 网 关 处 设置 的 防火 省 入 
略 一 一 进行 判断 处 理 ， 设 备 的 负载 会 
会 根据 设置 的 安全 策略 列表 从 上 而 下 顺 译 
的 策略 ， 就 会 导致 性 能 的 下 降 。 
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将 依赖 于 系 乡 分 刚 作 内 存 的 大 小 。 


会 有 数 干 条 安全 策略 ， 如 果 对 这 样 规模 的 安全 策 


当 大 ， 有 时 就 会 造成 性 能 下 降 的 现象 。 尤 其 是 防火 墙 


无 线 LAN 理论 上 所 能 达到 的 最 大 吞吐 3 
考虑 到 CSMA/CA 的 执行 以 及 无 线 


在 实际 环境 


避 - 


里 ， 如 采 到 达 的 分 组 多 数 命 中 位 于 策略 列表 下 位 
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电波 的 干涉 现象 、 距 离 的 远近 导致 无 线 电 


波 强 弱 的 不 


CSMA/CA 


IEEE 802.11 中 的 无 线 LAN 使 
Avoidance) 通信 方式 。 


CSMA 中 CS 用 来 执行 载波 侦 听 ， 当 遇 到 


待 ， 直 至 其 他 终端 发 送 完毕 


CA 表示 冲突 避免 (Collision Pe 的 意 且 阳 ， 


帧 的 移动 站 点 等 待 一 个 随机 长 度 


等 原因 ， 人 往往 很 难 达 到 无 线 LAN 理 


所 文 持 的 最 大 吞吐 率 。 


j 了 CSMA/CA (Carrier Sense Multiple Access/Collision 


端正 在 发 送 数据 帧 时 ， 该 站 点 停止 发 送 


答 


多 址 接 入 ， 即 1 个 传输 媒介 由 多 个 通信 终端 共享 


执行 补偿 控制 。 通 过 无 线 LAN 发 送 数据 
当 确认 传输 媒介 空 内 时 再 继续 发 送 数据 帧 。 通 


过 该 机 制 可 以 错 开 多 个 市 点 同时 进行 数据 帧 发 送 的 时 机 ， 有 效 地 降低 了 冲突 发 生 的 可 能 性 。 


使 用 CSMA/CD 的 半 双 工 有 线 LAN 相 比 则 无 需 等 待 补 偿 时 间 ， 在 空闲 状态 能 够 通过 连续 发 
送 数据 帧 间隔 〈IFG) 完成 整个 通信 过 程 (图 7-6) 。 当 多 个 节点 同时 发 送 数据 造成 冲突 
(Collision) 时 ， 则 执行 相应 的 补偿 算法 。 


CSMAJCD ( 以 太 网 ) 


节点 A 


; ! |! | 时 间 
nd 发 送 结 束 发 送 开 始 
若 空 闲 状 态 出 现 帧 间隔 ( IFG，lnter Frame Gap ) ， 则 立刻 发 送 下 一 个 数据 帧 


CSMA/CA ( 无 线 LAN ) 场景 


节点 A 


: Te 
( EEC 补偿 时 间 | 数据 帆 
节点 ! : ! 
时 间 
发 送 开始 发 送 结束 安庆 开交 有 
空闲 状态 出 现 帧 间隔 后 ， 等 待 随机 长 度 的 补偿 时 间 过 去 ， 再 发 送 下 一 个 数据 帧 
图 7-6 CSMA/CD 与 CSMA/CA 发 送 数据 帧 时 的 不 同 


由 于 有 线 LAN 能 够 通过 电气 噪音 及 时 检测 冲突 的 发 生 ， 而 无 线 LAN 无 法 迅速 有 效 地 检测 冲 
突 ， 因 此 只 能 采用 CSMA/CA 的 机 制 来 避免 冲突 的 发 生 。 


ACK 数据 帧 

接收 数据 帧 之 后 的 移动 站 点 需要 返回 ACK 数据 帧 ， 当 发 送 方 接收 到 ACK 数据 帧 后 表示 整 
个 数据 通信 过 程 结 束 。 但 线 信 言 号 状况 较为 糟糕 时 ， 如 果 接 收 方 没 有 收 到 数据 帧 ， 就 不 会 发 
送 ACK 数据 帧 ， 这 时 发 送 方 会 重 发 数据 帧 。 另 一 方面 ， 当 接收 方 顺利 收 到 数据 并 返回 ] 
ACK 数据 帧 ， 但 是 发 送 方 却 因 为 某 种 原因 没有 收 到 ACK 数据 由 时， 接收 方 也 会 再 次 发 送 
ACK 数据 帧 。 移 动 站 点 和 接 入 点 之 间 的 距离 以 及 无 线 信号 的 状况 会 影响 数据 重 发 的 概率 。 
一 般 在 实际 环境 中 ， 重 发 数据 的 概率 大 约 在 20% 左右 。 
现场 调查 
通过 使 用 频谱 分 析 仪 进 行 的 现场 调查 (事先 现场 勘查 ) 工作 ， 能 够 确认 无 线 网 络 布 网 区 域 的 
舍 号 干涉 情况 ， 反 射 波段 、 外 部 无 线 电 波 带 来 的 影 5 肌 以 及 噪音 带 来 的 有 影响 ， 从 而 能 够 部 
署 和 配置 最 佳 接 入 点 。 
一 般 现 场 调 查 可 以 按照 下 面 的 步骤 来 完成 。 
1. 准备 办 公 场 所 的 平面 图 。 
2. 测试 从 相 邻 接 入 点 发 出 的 无 线 电波 ， 了 解 当 前 位 置 无 线 电波 的 情况 。 


人 、` 无 线 电 波 强度 和 使 用 的 频带 ， 并 标记 到 办 公 场 所 
六 加工 o 


4. 根据 模拟 结果 ， 对 配置 的 接 入 点 进行 临时 配置 并 进行 验证 。 


g IE 


5. 完成 配置 后 ， 


对 接 入 点 是 否 能 


够 覆盖 所 有 


07.05 “根据 物理 需求 选择 产品 


07.05.01 ”交换 机 的 选择 
接 入 交换 机 的 选择 


同 客 


王 端 终端 相连 的 交换 机 可 1 以 选择 下 行 端 


10/100/1000BASE-T 的 任意 一 款 。 


前 ， 大 多 数 企 业 的 接 入 交换 


本 书 第 2 章 提 到 的 非 阻塞 式 交 : 


络 的 瓶颈 


。 而 如 果 选 择 


? 瓶颈 是 指 网 络 线路 的 某 个 特定 部 分 如 


价格 便 


[者 


区 域 进行 最 终 确 认 。 


揣 


各 


了 10/100/1000BASE-T 类 型 的 下 行 端 口 。 如 果 ; 
那么 从 


速度 为 10/1000BASE-TX 或 


选择 
户 端 连 接 至 服务 器 时 ， 交 换 机 不 会 成 为 整个 网 


么 而 立 | 


世子 的 颈 音 


图 7-7 接 入 交换 机 的 下 行 链 路 


昌 塞 式 交换 机 ， 


就 需 


Ei 


上 行 链 路 
路 由 器 


万 


于 


接 入 交换 机 


可 女 


3 户 充 分 考虑 网 络 瓶颈 的 情 


般 狭 窗 ， 从 而 限制 了 整个 网 络 上 


端 到 端的 


TCP 连 接 


的 通信 流量 


Dea 
Wu 


注 


元 。 


前 个 人 计算 机 一 般 都 已 配备 10/100/1000BASE-T 的 网 络 接口 ， 但 如 果 接 入 交换 机 使 用 的 是 
10/1000BASE-TX， 那 么 自 适 应 功能 就 会 使 1 个 人 计算 机 与 交换 机 之 间 的 链 路 速度 变 为 
100Mbits。 如 果 除 下 行 链 路 之 久 外 ， 让 他 通信 路 径 的 链 路 速度 都 达到 了 1GbiVys， 那 么 下 行 链 
路 就 可 能 成 为 整个 网 络 的 瓶颈 
当 接 入 交换 机 连接 的 客户 端 需要 访问 互联 网 时 ， 如 果 出 现下 面 这 些 情况 ， 接 入 交换 机 才 基 本 
不 会 成 为 网 络 的 瓶颈 。 

。 交换机 上 行 链 路 连接 的 路 由 器 或 防火 墙 更 容易 成 为 网 络 瓶 颈 。 
。 虽然 下 行 链 路 达到 了 100Mbit/s 或 1Gbit/s 的 连接 速度 ， 但 端 到 端 (客户 端 至 服务 器 ) 之 
间 的 TCP 连接 执行 了 流量 控制 ， 将 普通 TCP 上 应 用 程序 中 每 个 连接 的 最 大 吞吐 量 限制 
芷 了 几 Mbits 的 程度 。 
大 多 数 接 入 交换 机 都 采用 2 个 或 4 个 千 兆 上 行 端口 的 配置 。 交 换 机 使 用 2 个 千 兆 上 行 端口 
时 ， 同 时 连接 网 络 上 层 的 2 台 汇 聚 交 换 机 或 核心 交换 机 组 成 了 宛 余 组 网 结构 。 交换 机 使 4 
| 则 构成 2 组 以 太 网 通道 ， 以 2 倍 的 吞吐 率 和 上 层 交 换 机 组 成 了 宛 余 组 网 
结构 7-8) 。 


使 用 2 个 上 行 端口 同 
上 层 交 换 机 组 成 宛 余 


链 路 。 使 用 4 个 上 行 汇聚 交换 机 
端口 则 构成 2 组 以 太 (10Gx1+1Gx4) x 双向 = 
通道 与 上 层 连 接 需要 28Gbit/s 的 带宽 


图 7-8 ”元 余 组 网 结构 
下 行 端口 数目 则 根据 客户 端 或 打印 机 等 通过 有 线 LAN 连接 的 终端 数量 来 具体 决定 。 
汇聚 交换 机 以 及 核心 交换 机 的 选择 


在 大 规模 校园 网 络 中 ， 需 要 引入 接 入 交换 机 、 汇 聚 交换 机 、 核心 灾 换 机 这 样 的 分 层 化 组 网 结 
构 。 这 是 ， 汇 聚 交 换 机 以 及 核心 交换 机 均 需 要 使 用 非 阻塞 结构 的 设计 。 


汇聚 交换 机 的 下 行 链 路 一 般 使 用 千 兆 网 络 接口 和 接 入 交换 机 的 上 行 链 路 进行 连接 。 


在 3 层 组 网 结构 中 ， 汇 聚 交 换 机 的 上 行 链 路 需要 同 核心 交换 机 的 下 行 链 路 进行 连接 ， 而 在 2 
层 组 网 结构 中 ， 接 入 交换 机 的 上 行 链 路 需要 同 核心 交换 机 的 下 行 链 路 进行 连接 。 虽 然 在 这 类 
链 路 中 10Gbit/s 网 络 接口 的 使 用 正在 逐渐 增加 ， 不 过 估计 以 后 使 用 40Gbit/s 以 及 100Gbit/s 

网 络 接口 的 情况 也 会 越 来 越 多 。 


如 果 从 校园 网 络 接 入 互联 网 ， 那 么 路 由 器 以 及 防火 墙 往往 会 成 为 整个 网 络 的 瓶颈 。 但 如 果 校 
园 网 络 中 LAN 通信 比较 多 ， 而 汇聚 交换 机 或 核心 交换 机 又 是 阻塞 结构 的 话 ， 交 换 机 则 可 能 
成 为 最 大 的 网 络 瓶颈 (图 7-9) 。 如 果 预 算 足 够 ， 最 好 所 有 的 交换 机 都 采用 非 阻塞 的 设计 ， 
是 如 果 这 点 无 法 做 到 ， 就 应 该 推测 整个 网 络 的 通信 流量 ， 从 而 选择 吞吐 量 满足 最 低 需求 的 
人 交换机。 即使 妆 换 机 成 了 网 络 的 瓶颈 ， 由 于 在 校园 网 内 部 延迟 很 小 (根据 物理 距离 的 不 同 ， 

1 毫秒 至 数 毫 秒 之 间 ) ， 端 到 端的 网 络 速度 还 是 非常 快 的 。 另 外 ， 如 果 承 载 于 TCP 
的 应 用 程序 实施 了 窗口 控制 或 重 发 控制 等 流量 控制 措施 ， 那 么 用 户 的 通信 则 不 会 因为 交换 机 
成 为 了 网 络 瓶 颈 而 停止 。 


二 


图 7-9 经 由 接 入 交换 机 、 汇 育 交 换 机 的 LAN 通信 


这 里 的 处 理 可 能 会 


[ 聚 交换 机 以 及 核心 交换 机 的 端口 数 需 要 根据 连接 的 接 入 交换 机 以 及 终端 的 数目 来 进行 设 


计 。 机 框 式 核心 交换 机 能 够 通过 增加 线 卡 模块 来 满足 端 


设计 能 够 通过 PoE 来 供电 的 电源 容量 


表 7-11 能 够 实施 PoE 供电 的 规格 范例 


口 的 后 续 增 加 需求 。 


通过 PoE 供电 技术 对 无 线 LAN 接 入 点 、IP 电话 等 设备 进行 供电 时 ， 需 要 对 能 够 供给 的 电源 
容量 进行 总 体 的 设计 与 规划 ( 表 7-11) 。 


Cisco Systems Catalyst 3750 系 列 交 换 机 


WS-C3750E-24PD-S PoE 能 够 供给 420W 的 


电能 ， 所 有 24 个 端口 都 能 够 独立 人 


给 15.4W 的 电 


WS-C3750E-48PD-SF PoE 能 够 供给 800W 的 


电能 ， 所 有 48 个 端口 都 能 够 独立 供 


给 15.4W 的 电 


BUFFALO L2 PoE 智 慧 型 交换 机 


BUFFALO BS-POE-124GMR |PoE 最 多 能 够 供给 30W 的 


电能 ，24 个 端 


通过 10/100BASE-TX 线 缆 进 行 共享 


07.05.02 ”路 由 器 的 选择 
路 由 器 的 网 络 接口 数目 需要 依据 所 连接 的 网 段 数量 来 选择 。 


在 以 太 网 中 ， 使 用 的 物理 网 络 接口 数目 只 要 满足 最 低 限 就 可 以 了 ， 
L2 交换 机 来 增加 网 络 接口 的 数目 ， 也 可 以 使 有 


问题 。 


遇 到 以 太 网 之 外 的 协议 网 络 ， 则 需要 考虑 端 
接口 以 及 AT M、T1/ El1、P OS 等 网 络 接口 都 需要 配备 同 需求 相 一 致 的 接口 数量 。 
品 都 提供 了 搭载 这 些 接口 的 


N 相关 的 


口 的 数 


可 以 通过 添加 下 行 处 的 
日 VLAN 中 的 子 网 接口 来 缓解 网 络 接口 不 足 的 


。 如 VoIP 需要 用 到 的 RJ-11 端口 ，ISD 


07.05.03 ”防火 墙 产 品 的 选择 


接口 模块 卡 ， 使 得 后 期 扩容 


工作 中 能 够 添加 接口 


在 互联 网 网 关 处 设立 防火 墙 时 ， 一 般 需要 准备 2 个 端口 ， 即 连接 互联 网 的 上 行 端口 和 连接 内 
部 网 〈Intranet) 的 下 行 端 " 这样 的 连接 方式 称 为 内 联 连 接 (in-line) ， 也 是 最 为 传统 的 防 
火 墙 设置 方式 。10 年 之 前 几乎 所 有 的 防火 墙 均 采 用 该 设置 方式 ， 传 统 型 的 防火 墙 设备 一 般 
也 就 只 {本 2~4 个 板 载 端 [oe 
当前 的 防火 墙 尤其 是 新 一 代 防 火 墙 有 很 多 产品 为 了 保障 安全 性 ， 会 设置 在 内 部 网 中 ， 并 且 同 
时 配备 RJ-45、SFP/SFP+ 等 接口 ， 提 供 8~24 个 网 络 端口 。 如 果 要 使 用 工作 在 内 部 网 中 的 防 
火 墙 ， 就 需要 和 网 段 数量 相对 应 的 端口 数 。 
07.06 ”确认 网 络 设备 的 互 操作 性 
互 操作 性 (interoperability) 表示 网 络 中 不 同类 型 的 网 络 设备 互相 连接 后 也 能 够 正常 通信 的 
情况 ， 也 称 为 互联 性 (interconnectivity) 。 
由 于 网 络 设备 一 般 都 实现 了 相同 的 RFC 或 IEEE 等 各 种 标准 或 协议 ， 因 此 不 同 厂商 之 间 的 设 
备 之 间 可 以 说 应 该 是 具备 互联 性 的 。 
但 另 一 方面 ， 往 往 会 有 厂商 独自 实现 一 些 尚未 标准 化 的 先进 功能 ， 这 类 功能 则 是 无 法 在 所 有 
硬件 上 运行 的 。 
当 需 要 引入 多 个 不 同 厂商 生产 的 网 络 硬 件 进 行 组 网 时 ， 怠 需要 考虑 到 这 些 设备 的 互 操作 性 ， 
以 此 作为 选择 设备 的 一 项 重要 依据 。 
像 访问 控制 列表 或 病毒 扫描 等 能 够 在 网 络 硬件 内 部 处 理 ， 无 需 同 网 络 上 其 他 设备 连接 的 功 
能 ， 则 可 以 不 用 考虑 其 互 操 作 性 。 
需要 考虑 设备 互 操作 性 的 功能 种 类 可 以 参考 表 7-12。 
表 7-12 ”需要 考虑 互 操 作 性 的 功能 种 类 与 范例 
种 类 说 明 范例 
曙 各 下 突现 斩 | 不 是 同一 厂商 的 硬件 则 无 法 协同 工作 Sn 
让 信 上 轩 体 给 定 | 只 要 接受 了 认证 不 同 厂商 的 产品 也 能 协同 工作 ee 
于 标准 化 团体 的 于 口 人 本 玉 于 标准 化 车 苗 苗 

基于 标准 化 团体 的 RFC 的 VRRP、RIP、OSPF、 

正式 标准 实 网 的 功 | 任何 厂商 支持 正式 标准 的 硬件 都 可 以 互联 并 协同 工作 BGP 、\IEEE 的 IEEE 802.3ad 

用 等 


07.07 高 可 用 性 的 考量 方法 


MTBEF 与 MTTR 


包含 网 络 设 


的 电 


产品 以 及 计 往 


机 系统 并 等 通常 常 使 


了 


F 均 故障 间隔 时 


司 ) 指标 参数 来 计算 其 


出 现 故 障 的 概率 。 


用 MTBF (Mean Time Between Failures, 


St 


网 络 设 


产品 的 规格 说 明 书 


1 


J 


以 使 用 
MTBF= 运行 


在 实际 运用 


下 图 


去 行 


时 间 / 故 


于 


Vi 人 


这 个 公式 计算 。 


，MTBF 还 能 够 使 


的 产 品 积 点 法 


障 次 数 


了 


丹 


预测 


法 


会 调 


预测 法 之 一 
数 将 这 些 信 息 呈 


品 的 MTBF 参数 值 。 


联 起 来 计算 


了 


[有 
器 


nm MTBF 


或 推测 
硬件 内 部 芯片 、F 


般 都 会 记载 MTBF 数值 ， 


去 计算 出 习 
容 等 部 件 的 故障 率 信 息 


发 


LE 测 法 之 一 的 域 
E 了 故障 ， 
， 这 个 期 间 如 时 


现 ] 


rs£ 


I 可 


的 方 沪 


站 这 样 


到 


MTBF 值 


更 加 接近 ， 但 


多 同 实际 的 MTBF 值 


序 且 


本 厚生 劳动 省 1 


Es 


限 没 有 任何 关系 ， 


9 相当 于 我 国 国 


务 院 下 属 的 人 


工 即 公元 2007 年 。 


视 为 故障 率 的 话 ， 
命 为 59.08 安 ， 人 类 日 


羊 本 数据 ， 
同时 启 
以 通过 


下。 该 方法 在 产 


| 


CD 
口 


HD7 


用 终 


~ 


. 观 


万 台 x1 


、 几 
口 尺 


下 


的 统计 数 # 
MTBF 


寿命 也 


力 资源 和 社会 


故障 率 可 以 通过 MTBF 
故 


障 率 =LMTBF 


MTTR (Mean Time To Repair, 


未 运行 


保障 部 。 一 一 译 者 注 


的 倒数 计 货 


加 


和] 


站 


。 网络 i 


汉 


组 成 的 系统 


而 得 。 


入 替 


换 设 


a 


MTTR 的 数值 


> 


过 下 


看 公式 讨 


， 就 是 MTBF 值 越 大 而 MTTR 值 


oo 


算 而 得 


了 概率 =MTBF/(MTBF+MTTR) 


07.08 ”价格 相关 的 考量 方法 


07.08.01 ”端口 单价 


网 络 设备 的 价格 按 端 


的 端 


万 日 元 ， 车 该 设 


端口 速度 的 提高 而 J 


成 19 年 
直 则 为 “1: 0.00056= -1786 
不 过 1000 自 
司 计 算 


00 小 日 
运行 至 发 9 


该 参数 以 小 时 (hour) 为 


位 ， 


设 


于 发 的 初级 阶段 也 能 够 算出 所 


受 在 相对 较 短 的 时 间 内 有 


动 1 万 台 相 同 的 设备 运行 


不 具 


时 


修复 时 间 ) 是 指 系统 发 4 


FE 11 


可 操作 性 


o 


十 =5 次 故 
第 1 次 夏 


然后 


[| 


使 用 
或 型 产 


多 少 台 设 


可 


本 


100 个 4 


日 本 


让 全 


比 尖 


年 。 与 
| 
| 


20 尹 
6 1 
似 ， 
的 政 障 率 ] 


岁 男 性 


的 死 


亡 率 为 0.05626。 


理论 值 


MTBF 数值 


日 实 际 20 岁 男性 


的 3 


也 


里 了 ， 


‘cE 
这 一 再 


障 =20 万 小 
障 的 时 间 值 


z 均 简 
同 实际 的 


要 


故障 Ri 


般 不 存 MTTR 的 概念 ， 但 
! 则 有 最 小 MTTR 值 的 概 
从 费 的 时 间 以 及 替换 设 


全 


1 


以 端口 、 模 块 、 机 术 
。 对 于 非 元 余 结构 系 


从 输入 设置 到 整 机 


E 为 


是 


位 


Ts 


越 小 的 系统 可 


的 单价 。 例 


化 。 对 于 搭载 的 功能 与 端口 如 度 都 相 


成 本 收益 就 越 大 。 
07.08.02 ”比特 单价 


的 两 款 产 


的 价格 为 10 


机 设备 价格 还 
选择 的 产 


性 更 局 


如 ， 


网 络 i 


日 元 。 端 
根据 搭载 
品 端口 单价 越 


时 岂 


功能 而 


东 置 口 深 


价格 为 240 


的 价格 会 随 着 


有 所 


， 所 获得 


变 


的 


网 络 设 
如 单价 为 100 


的 价格 还 可 


万 日 元 的 


二 六 


十 


交换 机 容量 量 


[以 按照 以 bit/s 为 单位 的 


[a 
[| 


吐 率 来 进行 划分 ， 从 而 计算 出 比特 单价 。 


为 10Gbit/s， 


则 :处理 外 


比特 单价 为 9g. 3x10 5 


力 相 同 ， 那 么 


比特 单价 


07.08.03 ”学习 成 本 


越 低 的 产品 


Ey 


学 习 成 


本 是 指 在 买 入 产品 


价 也 就 越 便 ? 


目 。 


中 包括 支持 费用 


许可 证 费用 


许可 证 
使 


(license) 
“ 品 的 该 项 功能 ， 


“A 


、 许 可 证 


内 ( 


外 


固定 期 间 内 ) 使 


用 产品 时 所 花费 的 费 


后 
费 


已 攻 


、 人 力 资 源 费 


能 够 使 


表 不 用 


些 功 能 的 权力 。 


用 等 。 


二 


便 能 够 


一 旦 购买 了 许可 证 ， 


例 出 虚拟 路 上 


病毒 以 


及 基 ] 


内 容 的 扫 


E， 以 后 每 年 


I 必 ， 


都 需要 2 
随 着 时 i 


日 


头 及 订 


阅 许可 有 


人 
专 | ， 


| 的 推移 ， 


这 类 


、 虚 拒 


防火 墙 、 远 程 接 入 VPN、 功 能 升级 等 功能 
证 按 年 发 放 的 ， 即 许可 证 的 有 效 期 为 1 


一 般 是 


午 可 证 称 为 订 


阅 


许可 。 订 阅 许可 一 般 也 就 意味 着 需要 


期 更 新 许 可 信 


x 


的 能 够 单独 册 


许可 证 


时 


订阅 


六 表示 1 


许可 


的 购 
台 设 


买 分 为 “b 


厌 我 


3 户 数量 、 


会 话 数 


户 数 为 


单位 ， 则 表示 根据 设备 


|] 


数 越 多 许 
折扣 服务 。 


人 力 资源 费用 
户 企业 购 入 


价格 到 


证 


C 越 中 


有 的 由 


才能 得 到 相关 产品 的 使 用 权利 。 
产品 支持 协议 一 同 签订 购买 。 


DA 


| 必须 


可 


匡 为 身 


份 许可 
均 不 做 限制 。 


i 


需要 使 


人 资源 费 


中 了 了 条 


还 包括 


更 用 越 是 
网 络 产 品 人 力 冯 
法 ， 发 生 
品 的 互 操 
电能 消耗 量 


六 唱 的 切 


放 


便捷 的 产品 


禹 源 费 用 的 人 
问题 时 
作 性 情况 等 


需 


了 和 有 


一 商 一 般 都 会 


中 
户 数 为 单位 ”两 种 类 型 。 
许可 ， 的 功能 时 对 于 设 


有 位 ”和 [3 了 
或 订 


使 


El 


证 


户 


本 阅 许可 的 价格 ， 
介 就 越 便宜 的 批量 价 


数量 来 决定 许可 i 
上 户 数量 越 多 


人 


多 少 人 力 来 管理 产品 就 六 


定 了 人 力 资源 所 需 的 费用 


E 引 入 新 产品 时 进行 教育 培训 


的 费用 成 本 。 


要 的 管理 


此 能 够 节约 人 力 资源 费用 的 


,项 


的 GUI 界面 和 设 


了 容易 使 


香 容 


易 诊断 与 


和 丰 口 
大 


能 以 及 吞吐 


系 。 


[ 吐 


F 率 相同 ， 


一 般 选 择 消耗 电能 较 少 的 产品 为 好 ， 这 样 才能 省 


表 7-13 不 同 网 络 设备 机 型 所 消耗 的 电能 


或 有 偿 的 培训 以 及 同 第 三 方 网 络 监 控 产 


期 的 


设备 名 称 最 大 消耗 电能 (AC 电源 ) 
Cisco Systems CRS-1 (高 端 路 由 器 ) 8750W 
ALAXALA Networks AX7702R 〈 中 端 路 由 器 ) 495W 
Cisco ISR 3845 (中 端 路 由 器 ) 79~360W 


设备 名 称 最 大 消耗 电能 〈Ac 电 源 ) 
YAMAHA RTX1100 ( 低 端 路 由 器 ) 16W 
BUFFALO BBR-4HG (宽带 路 由 器 ) 3.55W 
Juniper Networks EX4200-24T ( 箱 式 交换 机 ) 注 1 190~930W 
Apresia Light GM124GT-SS ( 箱 式 交换 机 ) 注 ! 30W 
BUFFALO BS-G2108UR (桌面 型 交换 机 ) 注 1 7.5W 


注 1: 交换 机 中 如 果 打 开 PoE 功能 ， 则 会 导致 消耗 电能 的 增加 。 


， 硬件 一 般 都 使 用 AC (交流 ) 电源 供电 ， 但 也 有 些 产 品 支持 DC (直流 ) 

共 电 。 如 果 设 备 内 部 使 用 AC 方式 供电 ， 就 需要 将 外 部 的 交流 电 转换 为 内 部 所 需 的 直流 电 ， 
这 时 的 用 电 效率 会 根据 功率 因子 的 值 而 有 所 下 降 (参考 01.04.12 小 节 中 的 表 1-46) 。 因 此 ， 
尤其 是 数据 中 心 以 及 安全 设备 等 ， 它 们 大 多 都 使 
了 DC 电源 进行 供电 。 


绿色 IT 


为 地 球 环境 着 想 的 IT 产品 、IT 基础 设施 ， 以 及 和 环境 保护 、 资 源 的 有 效 利 用 相关 联 的 开 应 
3 理念 都 可 以 被 称 为 绿色 IT。 


为 了 降低 对 环境 的 负担 ， 现 在 越 来 越 多 的 用 户 企业 开始 在 置办 网 络 硬件 时 将 绿色 IT 理念 加 
入 到 选 购 条 件 中 ， 例 如 要 求 网 络 硬 件 能 够 省 电 或 者 具有 可 回收 性 等 。 


网 络 硬件 中 与 绿色 IT 理念 相关 的 事项 包括 : 设备 的 省 电 程度 和 降低 发 热 ， 使 用 复合 功能 产 
品 来 百代 多 个 单一 功能 产品 ， 例 如 在 安全 设备 中 使 用 UTM 或 者 在 网 络 中 使 用 虚拟 路 由 器 、 
虚拟 防火 墙 来 减少 物理 机 框 的 数量 ， 其 至 使 用 虚拟 化 技术 将 网 络 设备 和 服务 器 产品 统一 整合 


o 


过 


y 


让 


另外 ， 使 用 PoE 等 供电 技术 改善 现 有 供电 设施 以 及 改善 空调 系统 都 属于 绿色 IT 范畴 的 一 部 
i 

节能 法 案 

节能 法 案 是 “合理 使 用 能 源 的 相关 法 律 * 的 简称 ， 是 日 本 在 石油 危机 “期 间 于 昭和 54 年 制 
定 的 法 律 。 该 法 律 则 在 “以 内 部 和 外 部 能 源 为 中 心 、 确保 有 效 使 用 与 经 济 社会 环境 相 适应 的 


燃料 资源 "以 及 “为 了 综合 推进 工厂 或 施工 场所 、 运 输 、 建 筑 物 、 机 械 器 具 等 领域 合理 使 用 能 
源 而 寻求 必要 的 措施 ”。 


了 2 这 里 指 的 应 该 是 爆发 于 1978 年 底 的 第 二 次 石油 危机 。 世 界 第 二 大 石油 出 口 国 伊朗 的 政局 发 生 剧烈 变化 ， 亲 美的 温和 派 
国王 巴 列 维 下 台 ， 由 此 引发 了 第 二 次 石油 危机 ， 油 价 在 1979 年 开始 暴涨 ， 从 每 桶 13 美元 猛 增 至 1980 年 的 34 美 元 。 


1 


| 13 即 公 元 1979 年 。 一 一 译 者 注 


前 市 面 上 的 产品 均 以 节能 法 案 中 描述 的 拥有 最 高 节能 性 能 的 设备 为 基准 (领跑 标准 ) ， 参 
整个 市 场 高 效 使 用 能 源 的 领跑 标准 ， 对 特定 的 硬件 (包括 汽 车 以 及 家 电 ) 设置 对 应 的 节能 
准 。2009 年 7 月 修订 、 实 施 的 节能 法 案 于 网 络 硬件 的 特定 设备 中 增添 了 传输 速率 
4 和 在 200Mbivis 以 下 上 且 不 配 有 VPN 的 小 型 路 由 器 以 及 L2 交换 机 ”并 制定 了 相应 的 页 跑 标 


Sl 
< 


下 


。 同 时 ， 还 规划 了 对 速度 在 200Mbit/s 以 上 的 路 由 器 以 及 工 3 交换 机 制定 领跑 标准 的 计 


也 有 些 网 络 硬件 产品 会 提供 类 似 于 ALAXALA 网 络 公司 的 “动态 省 电 ” 这 种 功能 ， 使 设备 运 
行 在 省 电 模 式 或 是 睡 眼 模式 下 从 而 达到 节省 电能 的 目的 。 


根据 日 本 经 济 产业 省 绿色 IT 推进 协会 的 估算 op ，2006 年 开 设备 消耗 电能 为 466 亿 
kWh， 其 ' 网 络 硬 什 大 约 耗 费 了 80 亿 kWh 的 电能 ， 约 占 整个 电能 消耗 的 17%。 估 计 在 
2025 年 ， 整 个 开设 备 消 耗 电 能 将 达到 2417 亿 is 其 中 网 络 硬件 将 消耗 1033kWh， 占 据 
整体 能 耗 的 43%， 同 2006 年 相 比 ， 大 约 将 增加 13 倍 。 


在 该 背景 下 ， 实 施 网 络 人 硬件 节能 对 策 的 呼声 愈 发 高 涨 ， 其 重要 性 也 日 渐 突出 。 
07.08.04 “支持 的 费用 

大 多 数 网 络 硬件 厂商 尤其 是 海外 设备 商 生 产 的 产品 ， 用 户 如 果 想 要 获得 日 后 这 些 产 品 升级 更 
新 的 权利 ， 就 需要 同 厂商 签订 每 年 的 支持 合同 。 根据 这 此 支持 合同 ， 当 软件 或 硬件 发 生 问题 


时 ， 厂 商 的 维护 部 门将 无 偿 接受 问 询 、 向 用 户 提供 软件 补丁 或 提供 版 本 升级 。 用 户 向 厂商 维 
护 部 门 提出 的 a es 户 案例 (Case) 或 服务 指派 (Service Ticket) ， 这 些 用 


硬件 往往 具有 保修 期 
无 偿 替换 服务 。 


07.09 ”达到 采购 条 件 


07.09.01 ”绿色 采购 

绿色 采购 是 指 具 环保 意识 的 用 户 在 采购 时 着 重 考 产品 在 节省 能 源 、 广 省 资源 、 蔡 止 或 减 

害 化 学 物质 、 产 品 回 收 等 情况 ， 优 先 采 购 零 部 件 、 使 用 材料 和 包装 都 符合 环境 保护 需求 
J 产品。 


0 保护 的 管理 措施 ， 而 且 对 产品 的 使 用 材料 也 有 一 定 的 要 


， 在 该 期 间 如 果 发 生 故 障 ， 那 么 即使 没有 支持 合同 也 能 获得 厂商 提供 的 


共 应 商 采 取 的 环境 保护 管理 措施 
1. 构建 以 ISO14000 为 基础 的 环境 管理 体制 。 

2. 实施 绿色 采购 (或 已 有 开始 实施 的 计划 ) 。 

3. 掌握 产品 用 料 的 化 学 物质 成 分 并 配 有 相应 的 管理 体系 。 

4. 能 够 配合 用 户 企业 对 其 购买 产品 的 用 料 进行 化 学 物质 调查 。 
5. 配合 用 户 企业 降低 产品 使 用 对 环境 的 负担 。 


对 产品 用 料 的 要 求 事项 


标准 规定 的 禁用 物质 成 分 ， 或 者 产品 制造 过 程 中 没有 使 用 标准 规定 的 工程 禁用 
质 0° 


2. 对 于 标准 中 虽 未 禁止 但 定义 为 “指定 化 学 物质 ”的 成 分 需要 提供 详细 信息 。 
3. 明确 告知 产品 部 件 及 构成 材料 使 用 的 材质 信息 。 


4. 使 用 塑料 成 型 品 时 ， 尽 可 能 标明 其 在 JIS K6899、JISK6899-2 以 及 JIS K6999 等 清单 
中 记载 的 材料 编号 信息 。 
5. 采用 减少 消耗 电能 与 轻便 化 等 节省 能 源 和 资源 的 设计 。 
6. 产品 包装 使 用 易 回 收 的 材料 或 对 环境 负担 较 小 的 材料 〈 例 如 : 聚 乙烯 、 聚 莱 乙 ， 
栈 、 降 解 塑料 等 ) 。 
07.09.02 ”符合 RoHS 要 求 
RoHS (Restriction of the use of certain Hazardous Substances， 在 电子 电 中 限制 使 用 某 
些 有 害 物 质 的 指令 ) 是 指 欧盟 在 电气 、 电 子 设 备 中 限制 使 Pe te 
该 法 案 规定 在 欧盟 浇 内 销售 的 网 络 硬件 必须 符合 该 项 标准 ， 但 在 日 本 也 常常 会 要 求 采购 的 产 
品 必须 符合 RoHS 相关 规定 ， 不 含有 指定 的 有 害 物质 。 
表 7-14 RoHS 指令 中 提 到 的 有 害 物质 
铅 1000ppm 以 下 
水 银 1000ppm 以 下 
锅 100ppm 以 下 
六 价 铬 1,000ppm 以 下 
多 省 联 葵 (PBB) 1,000ppm 以 下 
多 省 二 茶 醚 (PBDE) 1,000ppm 以 下 
07.09.03 ”加 密 出 口 管理 相关 
长 度 超过 56bit 的 共享 密 钥 加 密 技 术 ， 或 者 长 ) 度 超过 512bit (椭圆 加 密 等 算法 中 为 112bit) 的 
公开 密 钥 加 密 技术 ， 无 论 使 用 哪 种 加 密 技术 的 加 密 装 置 在 运 出 ne 
居民 了 时， 必须 符合 "外 汇 及 对 外 贸易 管理 法 "中 出 口 许可 的 相关 规定 或 办 理 了 相关 业务 
可 手续 。 但 是 ， 根 据 加 密 出 口 相关 的 行政 命令 和 通告 ， 若 满足 一 定 的 条 件 也 可 以 省 去 和 
口 许 可 的 过 程 。 
| 丰 长 信 居 包括 国外 游 留 2 年 以 上 的 日 本 人 、 为 在 外 国事 务 所 工作 而 出 国 并 留 在 国外 的 日 本 人 、 在 国外 居住 的 外 区 
| 人 、 国 外 的 外 国法 人 、 日 本 法 人 的 外 国 分 分 支 机 构 等 。 
实现 IPsec-VPN 或 SSL-VPN 的 产品 因为 使 用 的 是 长 度 在 128~256bit 的 AES 共享 密 钥 ， 或 者 
长 度 在 1024~2048bit 之 间 的 RSA 公开 密 钥 ， 因 此 在 出 口 时 必须 申请 有 关 的 许可 。 
今后 相关 法 令 还 会 有 所 变更 ， 因 此 在 出 口 涉 及 加 密 技 术 的 装置 时 ， 需 要 确认 一 下 是 否 符合 相 
关 法 律 的 要 求 。 
07.10 ”售后 支持 相关 的 基础 知识 
07.10.01 ”网 络 硬件 的 维护 
宽带 路 由 器 以 及 一 部 分 的 低 端 路 由 器 都 是 由 用 户 在 家 电 专 卖 店 或 互联 网 电子 商务 网 站 处 购 得 
亲自 设置 ， 随 后 用 于 维护 的 更 新 软件 也 是 通过 厂商 的 支持 主页 下 载 行 安装 升级 。 
另 一 方面 ， 用 于 企业 或 服务 供应 商 的 网 络 硬件 的 购 入 渠道 则 多 数 为 销售 代理 商 (售后 维护 
方 ) ， 设 备 维护 相关 的 工作 也 与 销售 代理 商 密切 相关 。 
当 用 户 在 使 用 网 络 硬 件 产 品 时 遇 到 软 硬 牛 问题 时 ， 会 咨询 相应 的 销售 代理 商 。 销 售 代理 商 收 
到 来 自用 户 的 反馈 问题 后 ， 会 调查 是 否 为 常规 已 知 问题 ， 如 果 是 未 知 问题 ， 就 会 联系 产品 的 
厂商 来 协同 解决 二 。 


| 至 中 国 国内 大 都 也 采取 类 似 的 商业 模式 。- 译 者 注 
现场 维护 

所 谓 的 现场 ， 是 指 放置 网 络 设备 的 地 方 。 现 场 维护 是 用 户 与 代理 商 所 签 合 同 中 的 一 项 条 款 ， 
表示 当 硬件 发 生 故 障 时 ， 销 售 设 的 代理 商会 将 闪 措 设备 配 关 到 用 户 放 重 没 各 的 地 力 在 
现场 完成 相关 配置 ( 表 7-15) 。 当 发 生 故 障 时 ， 代 理 商 赶赴 设备 现场 的 时 间 将 根据 维护 费用 
的 不 同 而 有 所 差异 。 


表 7-15 ”现场 维护 的 应 对 时 间 范 例 


菜单 内 容 说 明 


ea e 服务 受理 时 间 : 星期 一 ~ 星期 五 (8:45~17:30) ， 不 包括 节假日 以 及 年 末年 初 (12/30~1/3) 时 
工作 日 4 小 | 段 
时 内 应 对 注 |e 现场 应 对 时 间 : 4 小 时 内 应 对 
1 接收 到 人 关于 硬件 故障 的 联络 信息 后 ， 维 护 方 会 在 4 小 时 内 赶赴 设备 所 在 地 ， 实 施 硬 件 修 
复工 作 。 只 在 工作 的 8:45 至 17:30 之 间 学 理 户 的 报 障 


365 天 4 小 ”|。 服务 受理 时 间 : 365 天 24 小 时 

时 内 应 对 注 |。 现场 应 对 时 间 ; 4 小 时 内 应 对 

ee 接 户 企业 关 于 硬件 故障 的 联络 信息 
关于 


， 维 护 方 会 在 4 小 时 内 赶赴 设备 所 在 地 ， 实 施 硬件 修 


Tm 


e 服务 受理 时 间 : 星期 一 ~ 星期 五 (8:45~17:30) ， 不 包括 节假日 以 及 年 末年 初 (12/30~1/3) 时 
段 
次 日 应 对 e 现场 应 对 时 间 : 下 一 个 工作 
接收 到 用 户 企业 关于 硬件 故障 的 联络 信息 后 ， 维 护 方 会 在 下 一 个 工作 日 的 8:45 至 17:30 时 间 段 内 
赶赴 设备 所 在 地 ， 实 施 硬件 设备 修复 工作 。 只 在 工作 日 的 8:45 至 17:30 之 间 受 理 用 户 的 报 障 


注 1 该 条 款 中 的 4 小 时 内 应 对 ， 仅 限于 维护 方 能 够 到 达 的 地 理 范围 以 内 。 
退 返 维护 


退 返 (send back) 维护 合同 条 款 表示 当 用 户 发 现 硬件 存在 故障 时 ， 由 用 户 将 有 故障 的 设 
回 (send) 到 销售 代理 商 处 ， 随后 销售 代理 商 将 维修 好 的 产品 或 同 等 商品 再 返 送 (back) 
户 处 。 设 备 的 替换 以 及 对 替换 设备 进行 的 设置 由 用 户 完 成 。 


预 送 退 返 维护 

预 送 退 返 维护 合同 条 款 是 指 当 设备 出 现 故障 时 ， 由 销售 代理 商 预先 送出 替换 设备 〈 预 送 ) 
由 用 户 完 成 设置 。 用 户 则 在 更 换 设备 后 将 故障 设备 退回 到 销售 代理 商 。 

07.10.02 厂商 保修 


同 其 他 的 电气 产品 一 样 ， 路 由 器 中 的 软 硬 件 也 会 由 生产 厂商 提供 售后 保修 。 不 同 产 品 的 保修 
期 也 不 同 ， | 在 保修 期 内 ， 如 果 产 品 硬件 出 现 故障 ,三 商会 
免费 提供 修理 或 蔡 换 ， 以 及 软件 版 本 升级 的 服务 。 


器 在 网 络 中 属于 骨干 产品 ， 使 用 时 间 几 乎 都 会 超过 1 年 。 保 修 期 1 年 过 后 ， 产 品 发 生 故 
障 却 无 法 修理 或 奉 换 ， 发 现 软件 存在 bug 却 无 法 修复 就 会 成 为 令 用 户 烦 恼 的 问题 ， 用 

者 了 或 5 年 为 期 限 同 厂商 或 销售 代理 商 签订 维护 合同 。 通 常 这 一 类 
费用， 但 在 维护 合同 期 限 内 厂商 都 会 免费 提供 软 


出 
国 遍 


Fe 


在 购买 海外 生产 厂商 的 产品 时 ， 从 产品 到 岸 后 的 3 个 月 (90 天 ) 之 内 ， 如 果 发 现 硬 件 存 在 
缺陷 ， 户 能 够 以 DoA (Dead on Arrival， 到 货 即 损 ) 为 由 提出 替换 设备 的 申请 。 如 果 在 以 


后 的 时 间 发 现 硬件 故障 ， 则 需要 执行 名 为 RMA (Return Material Authorization ， 退 货 授 权 ) 
的 故障 产品 退货 流程 。 
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